PT-2024-20116 · Unknown · Apollo-Client-Nextjs+1
Ikemurami
·
Publicado
2024-01-30
·
Atualizado
2024-02-06
·
CVE-2024-23841
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do apollo-client-nextjs anteriores à 0.7.0
Descrição
O pacote NPM @apollo/experimental-apollo-client-nextjs está sujeito a uma vulnerabilidade de script entre sites (XSS). Esse problema decorre do tratamento inadequado de entradas não confiáveis quando o pacote realiza a renderização de páginas HTML no lado do servidor. Para explorar essa vulnerabilidade, um invasor precisaria injetar entradas maliciosas ou fazer com que entradas maliciosas fossem retornadas por um servidor GraphQL.
Recomendações
Para corrigir esse problema, atualize para a versão 0.7.0 ou posterior.
Como não há uma solução alternativa temporária disponível, a atualização para a versão corrigida é a única medida recomendada.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Apollo/Experimental-Apollo-Client-Nextjs
Apollo-Client-Nextjs