Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-05367

Опубликовано: 06 окт. 2021
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Низкий

Описание

Уязвимость параметра redirect плагина для обслуживания статических файлов fastify-static связана с возможностью перенаправления на недоверенный URL-адрес. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перенаправлять пользователей Mozilla Firefox на произвольные веб-сайты

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

fastify-static

Версия ПО

от 4.2.4 до 4.4.1 (fastify-static)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://hackerone.com/reports/1361804

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 58%
0.00362
Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2021-22964

CVSS3: 5.9
redhat
больше 4 лет назад

A redirect vulnerability in the `fastify-static` module version >= 4.2.4 and < 4.4.1 allows remote attackers to redirect Mozilla Firefox users to arbitrary websites via a double slash `//` followed by a domain: `http://localhost:3000//a//youtube.com/%2e%2e%2f%2e%2e`.A DOS vulnerability is possible if the URL contains invalid characters `curl --path-as-is "http://localhost:3000//^/.."`The issue shows up on all the `fastify-static` applications that set `redirect: true` option. By default, it is `false`.

nvd логотип

CVE-2021-22964

CVSS3: 8.8
nvd
больше 4 лет назад

A redirect vulnerability in the `fastify-static` module version >= 4.2.4 and < 4.4.1 allows remote attackers to redirect Mozilla Firefox users to arbitrary websites via a double slash `//` followed by a domain: `http://localhost:3000//a//youtube.com/%2e%2e%2f%2e%2e`.A DOS vulnerability is possible if the URL contains invalid characters `curl --path-as-is "http://localhost:3000//^/.."`The issue shows up on all the `fastify-static` applications that set `redirect: true` option. By default, it is `false`.

github логотип

GHSA-pgh6-m65r-2rhq

CVSS3: 8.8
github
больше 4 лет назад

DOS and Open Redirect with user input

EPSS

Процентиль: 58%
0.00362
Низкий

8.8 High

CVSS3

9 Critical

CVSS2