PT-2022-27780 · Nodebb · Nodebb
Julianlam
+1
·
Publicado
2022-12-05
·
Atualizado
2023-09-29
·
CVE-2022-46164
CVSS v3.1
9.4
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões do NodeBB anteriores à 2.6.1
Descrição
O problema decorre do uso de um objeto simples com um protótipo no processamento de mensagens do socket.io, permitindo que uma carga maliciosa especialmente criada se faça passar por outros usuários e assuma o controle de contas.
Recomendações
Para versões anteriores à 2.6.1, atualize para a versão 2.6.1 para corrigir a vulnerabilidade.
Como solução temporária para usuários que não possam atualizar, selecione o commit
48d143921753914da45926cca6370a92ed0c46b8 em seu código-fonte para corrigir a vulnerabilidade.Exploit
Correção
Improper Initialization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nodebb