CVE-2023-30548 in gatsby-plugin-sharpinformación

Resumen

por VulDB • 2026-06-04

gatsby-plugin-sharp es un plugin para el framework Gatsby que expone funciones basadas en la biblioteca de procesamiento de imágenes Sharp. El plugin gatsby-plugin-sharp anterior a las versiones 5.8.1 y 4.25.1 contiene una vulnerabilidad de traversal de ruta (path traversal) que se manifiesta al ejecutar el servidor de desarrollo de Gatsby (`gatsby develop`). Cabe señalar que, por defecto, `gatsby develop` solo es accesible mediante localhost en la dirección IP 127.0.0.1, y sería necesario exponer intencionadamente el servidor a otras interfaces para explotar esta vulnerabilidad utilizando opciones del servidor como --host 0.0.0.0, -H 0.0.0.0 o la variable de entorno GATSBY_HOST=0.0.0.0. Los atacantes que exploten esta vulnerabilidad tendrán acceso de lectura a todos los archivos dentro del ámbito del proceso del servidor. Se ha introducido un parche en [email protected] y [email protected] que mitiga el problema asegurando que las rutas incluidas permanezcan dentro del directorio del proyecto. Como se indicó anteriormente, por defecto `gatsby develop` solo está expuesto a localhost 127.0.0.1. Para aquellos que utilizan el servidor de desarrollo en la configuración predeterminada, no existe ningún riesgo. Si se requieren otros rangos, prevenir que el servidor de desarrollo quede expuesto a interfaces o rangos de direcciones IP no confiables mitigaría el riesgo derivado de esta vulnerabilidad. No obstante, se anima a los usuarios a actualizar a una versión segura.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub, Inc.

Reservar

2023-04-12

Divulgación

2023-04-18

Moderación

aceptado

Artículo

VDB-226244

CPE

listo

EPSS

0.00882

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!