CVE-2026-42190

Nome do Software Vulnerável e Versões Afetadas RedwoodSDK versões 1.0.0-beta.50 até 1.2.2

Descrição Ações de servidor no rwsdk aplicam a imposição do método HTTP, mas não possuem validação de origem. Isso permite que uma solicitação de uma origem diferente, que o navegador trate como same-site, invoque uma ação de servidor utilizando o cookie de sessão da vítima. Isso afeta aplicações que utilizam serverAction() ou funções invocadas via protocolo de ação RSC em combinação com autenticação baseada em cookies. O impacto limita-se aos efeitos colaterais da invocação da ação, como gravações e alterações de estado, pois o invasor não consegue ler as respostas. A exposição ocorre se um invasor controlar um subdomínio irmão em domínios personalizados ou um processo separado no localhost durante o desenvolvimento local. Solicitações de origens não relacionadas não são afetadas devido aos padrões de cookies SameSite=Lax.

Recomendações Atualize para a versão 1.2.3. Para aplicações que legitimamente invocam ações de servidor de outra origem, adicione essas origens à opção allowedOrigins no defineApp.