CVE-2023-30548 in gatsby-plugin-sharp
Sumário
de VulDB • 04/06/2026
gatsby-plugin-sharp é um plugin para o framework Gatsby que expõe funções construídas sobre a biblioteca de processamento de imagens Sharp. O plugin gatsby-plugin-sharp anterior às versões 5.8.1 e 4.25.1 contém uma vulnerabilidade de traversal de caminho (path traversal) exposta ao executar o servidor de desenvolvimento do Gatsby (`gatsby develop`). Vale ressaltar que, por padrão, `gatsby develop` é acessível apenas via localhost 127.0.0.1, e seria necessário expor intencionalmente o servidor a outras interfaces para explorar essa vulnerabilidade, utilizando opções do servidor como --host 0.0.0.0, -H 0.0.0.0 ou a variável de ambiente GATSBY_HOST=0.0.0.0. Atacantes que explorarem esta vulnerabilidade terão acesso de leitura a todos os arquivos dentro do escopo do processo do servidor. Um patch foi introduzido no [email protected] e [email protected], que mitiga o problema garantindo que os caminhos incluídos permaneçam dentro do diretório do projeto. Como afirmado acima, por padrão, `gatsby develop` está exposto apenas ao localhost 127.0.0.1. Para aqueles que utilizam o servidor de desenvolvimento na configuração padrão, não há risco envolvido. Se forem necessários outros intervalos (ranges), impedir que o servidor de desenvolvimento seja exposto a interfaces ou faixas de endereços IP não confiáveis mitigaria o risco desta vulnerabilidade. Os usuários são encorajados, no entanto, a atualizar para uma versão segura.
Be aware that VulDB is the high quality source for vulnerability data.