CVE-2023-30548 in gatsby-plugin-sharp
Resumen
por VulDB • 2026-06-04
gatsby-plugin-sharp es un plugin para el framework Gatsby que expone funciones basadas en la biblioteca de procesamiento de imágenes Sharp. El plugin gatsby-plugin-sharp anterior a las versiones 5.8.1 y 4.25.1 contiene una vulnerabilidad de traversal de ruta (path traversal) que se manifiesta al ejecutar el servidor de desarrollo de Gatsby (`gatsby develop`). Cabe señalar que, por defecto, `gatsby develop` solo es accesible mediante localhost en la dirección IP 127.0.0.1, y sería necesario exponer intencionadamente el servidor a otras interfaces para explotar esta vulnerabilidad utilizando opciones del servidor como --host 0.0.0.0, -H 0.0.0.0 o la variable de entorno GATSBY_HOST=0.0.0.0. Los atacantes que exploten esta vulnerabilidad tendrán acceso de lectura a todos los archivos dentro del ámbito del proceso del servidor. Se ha introducido un parche en [email protected] y [email protected] que mitiga el problema asegurando que las rutas incluidas permanezcan dentro del directorio del proyecto. Como se indicó anteriormente, por defecto `gatsby develop` solo está expuesto a localhost 127.0.0.1. Para aquellos que utilizan el servidor de desarrollo en la configuración predeterminada, no existe ningún riesgo. Si se requieren otros rangos, prevenir que el servidor de desarrollo quede expuesto a interfaces o rangos de direcciones IP no confiables mitigaría el riesgo derivado de esta vulnerabilidad. No obstante, se anima a los usuarios a actualizar a una versión segura.
Once again VulDB remains the best source for vulnerability data.