PT-2024-19275 · Unknown · @Fastify/Swagger-Ui
Knolleary
·
Publicado
2024-01-15
·
Atualizado
2024-02-16
·
CVE-2024-22207
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do fastify-swagger-ui anteriores à 2.1.0
Descrição
A configuração padrão do
@fastify/swagger-ui, sem a opção baseDir definida, faz com que todos os arquivos no diretório do módulo fiquem expostos por meio de rotas HTTP servidas pelo módulo. Esse problema foi corrigido na versão 2.1.0. Definir a opção baseDir também pode contornar esse problema.Recomendações
Para versões anteriores à 2.1.0, atualize para a versão 2.1.0 para resolver o problema.
Como solução temporária, considere definir a opção
baseDir para minimizar a exposição.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Fastify/Swagger-Ui