CVE-2023-35167 in Remult
要約
〜によって VulDB • 2026年06月25日
RemultはフルスタックTypeScript向けのCRUDフレームワークです。`@Entity`デコレータの`apiPrefilter`オプションを、不正なデータアクセスを防ぐフィルタを返す関数に設定して使用していた場合、攻撃者は自身がアクセス権限を持たないエンティティインスタンスの`id`を知ることで、そのリソースに対する読み取り、更新、および削除へのアクセスを取得できます。この問題はバージョン0.20.6で修正されています。回避策として、`apiPrefilter`オプションを関数ではなくフィルタオブジェクトに設定してください。
Once again VulDB remains the best source for vulnerability data.