GHSA-mmj4-777p-fpq9
Suggest an improvement- Source
- https://github.com/advisories/GHSA-mmj4-777p-fpq9
- Import Source
- https://github.com/github/advisory-database/blob/main/advisories/github-reviewed/2022/02/GHSA-mmj4-777p-fpq9/GHSA-mmj4-777p-fpq9.json
- JSON Data
- https://api.test.osv.dev/v1/vulns/GHSA-mmj4-777p-fpq9
- Aliases
- Related
- Published
- 2022-02-07T22:38:37Z
- Modified
- 2023-11-01T04:57:58.580219Z
- Severity
-
- 8.1 (High) CVSS_V3 - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS Calculator
- Summary
- Validation bypass in frourio-express
- Details
-
日本語
影響
v0.26.0以前のfrourioを使用している、かつvalidators/を利用している場合、ネストされたバリデータがリクエストのボディーとクエリに対して正しく働かないケースがあります。また、リクエストに対してバリデーションが効かなくなる入力があります。
パッチ
frourioをv0.26.0かそれ以降のバージョンにアップデートをお願いします。frourio を使用したプロジェクトには
class-transformerとreflect-metadataの依存への追加も必要となります。ワークアラウンド
controller側で自分でclass-transformerを使用してチェックする、vaildatorを使わない、など。
さらなる情報
このセキュリティ勧告に関する質問やコメントについては、以下の方法でお問い合わせいただけます。 * frourioにIssueを開く。
English
Impact
Frourio users who uses frourio version prior to v0.26.0 and integration with class-validator through
validators/folder. Validators does not work properly for request bodies and queries in specific situations. Addtionally, some kind of input is not validated. (false positives)Patches
Please update your frourio to v0.26.0 or later. You also need to install
class-transformerandreflect-metadatato your project.Workarounds
Validate objects from request with class-transformer in controllers by yourself, or prevent using validators.
For more information
If you have any questions or comments about this advisory: * Open an issue in frourio
- Database specific
{ "nvd_published_at": "2022-02-07T23:15:00Z", "cwe_ids": [ "CWE-1321", "CWE-20" ], "severity": "HIGH", "github_reviewed": true, "github_reviewed_at": "2022-02-07T22:38:37Z" }- References
Affected packages
npm / frourio-express
Package
- Name
- frourio-express
- View open source insights on deps.dev
- Purl
- pkg:npm/frourio-express