CVE-2022-31069 in NestJS Proxyinformation

Résumé

par VulDB • 26/05/2026

NestJS Proxy est un module NestJS permettant de décorer et de proxyfier les appels. Avant la version 0.7.0, la bibliothèque nestjs-proxy ne disposait d'aucun moyen de contrôler le moment où les en-têtes Authorization devaient être transférés vers des services backend spécifiques configurés par le développeur de l'application. Cela aurait pu entraîner l'exposition involontaire d'informations sensibles, telles que les jetons d'accès OAuth bearer, à des services qui ne devraient pas y avoir accès. Une nouvelle fonctionnalité a été introduite dans la version corrigée de nestjs-proxy, permettant aux développeurs d'application de choisir de ne pas transférer les en-têtes Authorization au niveau de chaque service en utilisant le paramètre de configuration `forwardToken`. Il est conseillé aux développeurs de consulter le fichier README de cette bibliothèque sur Github ou NPM pour plus de détails sur l'application de cette configuration. Ce problème a été corrigé dans la version 0.7.0 de `@finastra/nestjs-proxy`. Les utilisateurs de `@ffdc/nestjs-proxy` sont informés que ce package a été déprécié et n'est plus maintenu ni mis à jour. Ces utilisateurs sont invités à mettre à jour leur fichier package.json pour utiliser `@finastra/nestjs-proxy` à la place.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub, Inc.

Réserver

18/05/2022

Divulgation

15/06/2022

Modérer

accepté

Entrée

VDB-202205

CPE

prêt

EPSS

0.00603

KEV

non

Activités

très faible

Sources

Might our Artificial Intelligence support you?

Check our Alexa App!