PT-2022-26149 · Fastify · Fastify
Ry0Tak
·
Publicado
2022-11-21
·
Atualizado
2022-11-26
·
CVE-2022-41919
CVSS v3.1
4.2
Média
| Vetor | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Fastify anteriores à 3.29.4
Versões do Fastify anteriores à 4.10.2
Descrição
A vulnerabilidade permite que um invasor contorne a verificação
Pre-Flight do método fetch utilizando um Content-Type incorreto. Isso poderia ser usado para invocar rotas que aceitam apenas o tipo de conteúdo application/json, contornando assim qualquer proteção CORS e levando a um ataque de falsificação de solicitação entre sites (Cross-Site Request Forgery). As solicitações fetch() com Content-Type definido como “application/x-www-form-urlencoded”, “multipart/form-data” ou “text/plain” são afetadas.Recomendações
Para versões anteriores à 3.29.4, atualize para pelo menos a versão 3.29.4.
Para versões anteriores à 4.10.2, atualize para pelo menos a versão 4.10.2.
Como solução temporária, implemente proteção contra Cross-Site Request Forgery usando
@fastify/csrf.Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fastify