CVE-2023-30548 in gatsby-plugin-sharpinfo

Zusammenfassung

von VulDB • 04.06.2026

gatsby-plugin-sharp ist ein Plugin für das Gatsby-Framework, das Funktionen bereitstellt, die auf der Sharp-Bibliothek zur Bildverarbeitung basieren. Die Versionen von gatsby-plugin-sharp vor 5.8.1 und 4.25.1 enthalten eine Path-Traversal-Schwachstelle (Pfadmanipulation), die beim Ausführen des Gatsby-Entwicklungsservers (`gatsby develop`) auftritt. Es ist anzumerken, dass `gatsby develop` standardmäßig nur über den localhost 127.0.0.1 erreichbar ist und der Server absichtlich für andere Schnittstellen freigegeben werden müsste (z. B. durch Verwendung von Serveroptionen wie --host 0.0.0.0, -H 0.0.0.0 oder der Umgebungsvariable GATSBY_HOST=0.0.0.0), um diese Schwachstelle auszunutzen. Angreifer, die diese Schwachstelle nutzen, erhalten Lesezugriff auf alle Dateien im Geltungsbereich des Serverprozesses. Ein Patch wurde in [email protected] und [email protected] eingeführt, der das Problem behebt, indem sichergestellt wird, dass eingebundene Pfade innerhalb des Projektverzeichnisses bleiben. Wie oben erwähnt, ist `gatsby develop` standardmäßig nur für den localhost 127.0.0.1 freigegeben. Für Nutzer, die den Entwicklungsserver in der Standardkonfiguration verwenden, besteht kein Risiko. Wenn andere IP-Bereiche erforderlich sind, kann das Risiko durch Verhindern der Freigabe des Entwicklungsservers für nicht vertrauenswürdige Schnittstellen oder IP-Adressbereiche gemindert werden. Es wird Nutzern dennoch empfohlen, auf eine sichere Version zu aktualisieren.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub, Inc.

Reservieren

12.04.2023

Veröffentlichung

18.04.2023

Moderieren

akzeptiert

Eintrag

VDB-226244

CPE

bereit

EPSS

0.00882

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!