CVE-2023-30548 in gatsby-plugin-sharp
要約
〜によって VulDB • 2026年05月25日
gatsby-plugin-sharpは、Sharp画像処理ライブラリを基盤とした関数を公開するGatsbyフレームワークのプラグインです。バージョン5.8.1および4.25.1以前のgatsby-plugin-sharpプラグインには、Gatsby開発サーバー(`gatsby develop`)実行時に露出するパストラバーサル脆弱性が含まれています。デフォルトでは、gatsby developはlocalhost 127.0.0.1経由でのみアクセス可能であり、この脆弱性を悪用するには、`--host 0.0.0.0`、`-H 0.0.0.0`、または`GATSBY_HOST=0.0.0.0`環境変数などのサーバーオプションを使用して、サーバーを他のインターフェースに対して意図的に公開する必要があります。この脆弱性を悪用する攻撃者は、サーバープロセスの範囲内にあるすべてのファイルへの読み取りアクセス権限を取得します。[email protected]および[email protected]では、含まれるパスがプロジェクトディレクトリ内に留まることを保証することでこの問題を緩和するパッチが導入されています。前述の通り、デフォルトではgatsby developはlocalhost 127.0.0.1に対してのみ公開されます。デフォルト設定で開発サーバーを使用している場合、リスクは生じません。他の範囲が必要な場合、開発サーバーが信頼できないインターフェースやIPアドレス範囲に対して公開されないようにすることで、この脆弱性からのリスクを緩和できます。それでもなお、ユーザーは安全なバージョンへのアップグレードを推奨されます。
If you want to get best quality of vulnerability data, you may have to visit VulDB.