CVE-2023-30548 in gatsby-plugin-sharp情報

要約

〜によって VulDB • 2026年05月25日

gatsby-plugin-sharpは、Sharp画像処理ライブラリを基盤とした関数を公開するGatsbyフレームワークのプラグインです。バージョン5.8.1および4.25.1以前のgatsby-plugin-sharpプラグインには、Gatsby開発サーバー(`gatsby develop`)実行時に露出するパストラバーサル脆弱性が含まれています。デフォルトでは、gatsby developはlocalhost 127.0.0.1経由でのみアクセス可能であり、この脆弱性を悪用するには、`--host 0.0.0.0`、`-H 0.0.0.0`、または`GATSBY_HOST=0.0.0.0`環境変数などのサーバーオプションを使用して、サーバーを他のインターフェースに対して意図的に公開する必要があります。この脆弱性を悪用する攻撃者は、サーバープロセスの範囲内にあるすべてのファイルへの読み取りアクセス権限を取得します。[email protected]および[email protected]では、含まれるパスがプロジェクトディレクトリ内に留まることを保証することでこの問題を緩和するパッチが導入されています。前述の通り、デフォルトではgatsby developはlocalhost 127.0.0.1に対してのみ公開されます。デフォルト設定で開発サーバーを使用している場合、リスクは生じません。他の範囲が必要な場合、開発サーバーが信頼できないインターフェースやIPアドレス範囲に対して公開されないようにすることで、この脆弱性からのリスクを緩和できます。それでもなお、ユーザーは安全なバージョンへのアップグレードを推奨されます。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub, Inc.

予約する

2023年04月12日

モデレーション

承諾済み

エントリ

VDB-226244

EPSS

0.00882

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!