PT-2026-30990 · Unknown · Redwoodsdk
Zebbern
·
Publicado
2026-04-07
·
Atualizado
2026-04-08
·
CVE-2026-39371
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H |
Name of the Vulnerable Software and Affected Versions
RedwoodSDK versões 1.0.0-beta.50 até 1.0.5
Description
Funções do servidor RedwoodSDK exportadas de arquivos "use server" podiam ser chamadas via requisições GET, ignorando as restrições de método HTTP pretendidas. Em aplicações que utilizam autenticação baseada em cookies, isso permitia que requisições GET cross-site iniciassem modificações de estado, já que os navegadores incluem cookies SameSite=Lax com requisições GET de nível superior. Isso impactou todas as funções do servidor, incluindo os manipuladores
serverAction() e funções exportadas diretamente dentro de arquivos "use server".Recommendations
Atualize para a versão 1.0.6 ou posterior do RedwoodSDK.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Redwoodsdk