CVE-2023-30548 in gatsby-plugin-sharp
Zusammenfassung
von VulDB • 04.06.2026
gatsby-plugin-sharp ist ein Plugin für das Gatsby-Framework, das Funktionen bereitstellt, die auf der Sharp-Bibliothek zur Bildverarbeitung basieren. Die Versionen von gatsby-plugin-sharp vor 5.8.1 und 4.25.1 enthalten eine Path-Traversal-Schwachstelle (Pfadmanipulation), die beim Ausführen des Gatsby-Entwicklungsservers (`gatsby develop`) auftritt. Es ist anzumerken, dass `gatsby develop` standardmäßig nur über den localhost 127.0.0.1 erreichbar ist und der Server absichtlich für andere Schnittstellen freigegeben werden müsste (z. B. durch Verwendung von Serveroptionen wie --host 0.0.0.0, -H 0.0.0.0 oder der Umgebungsvariable GATSBY_HOST=0.0.0.0), um diese Schwachstelle auszunutzen. Angreifer, die diese Schwachstelle nutzen, erhalten Lesezugriff auf alle Dateien im Geltungsbereich des Serverprozesses. Ein Patch wurde in [email protected] und [email protected] eingeführt, der das Problem behebt, indem sichergestellt wird, dass eingebundene Pfade innerhalb des Projektverzeichnisses bleiben. Wie oben erwähnt, ist `gatsby develop` standardmäßig nur für den localhost 127.0.0.1 freigegeben. Für Nutzer, die den Entwicklungsserver in der Standardkonfiguration verwenden, besteht kein Risiko. Wenn andere IP-Bereiche erforderlich sind, kann das Risiko durch Verhindern der Freigabe des Entwicklungsservers für nicht vertrauenswürdige Schnittstellen oder IP-Adressbereiche gemindert werden. Es wird Nutzern dennoch empfohlen, auf eine sichere Version zu aktualisieren.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.