One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8343239 |
| Date de publication | 2023-06-08 00:15:09 (vue: 2023-06-08 06:06:50) |
| Titre | CVE-2023-34238 |
| Texte | Gatsby est un cadre gratuit et open source basé sur React.Le framework Gatsby antérieur aux versions 4.25.7 et 5.9.1 contient une vulnérabilité d'inclusion de fichiers locaux dans les chemins `__file-code-frame` et` __original-stack ', exposés lors de l'exécution du serveur de développement Gatsby (`Gatsby Develop`).Tout fichier dans la portée du serveur de développement pourrait potentiellement être exposé.Il convient de noter que par défaut «Gatsby Develop» n'est accessible que via le localhost `127.0.0.1`, et il faudrait exposer intentionnellement le serveur à d'autres interfaces pour exploiter cette vulnérabilité en utilisant des options de serveur telles que« - host 0,0 0,0.0.0`, `-H 0.0.0.0`, ou la variable d'environnement` GATSBY_HOST = 0.0.0.0`.Un correctif a été introduit dans `Gatsby @ 5.9.1` et` gatsby @ 4.25.7` qui atténue le problème.Il est conseillé aux utilisateurs de mettre à niveau.Les utilisateurs incapables de mettre à niveau devraient éviter d'exposer leur serveur de développement à Internet.
Gatsby is a free and open source framework based on React. The Gatsby framework prior to versions 4.25.7 and 5.9.1 contain a Local File Inclusion vulnerability in the `__file-code-frame` and `__original-stack-frame` paths, exposed when running the Gatsby develop server (`gatsby develop`). Any file in scope of the development server could potentially be exposed. It should be noted that by default `gatsby develop` is only accessible via the localhost `127.0.0.1`, and one would need to intentionally expose the server to other interfaces to exploit this vulnerability by using server options such as `--host 0.0.0.0`, `-H 0.0.0.0`, or the `GATSBY_HOST=0.0.0.0` environment variable. A patch has been introduced in `gatsby@5.9.1` and `gatsby@4.25.7` which mitigates the issue. Users are advised to upgrade. Users unable to upgrade should avoid exposing their development server to the internet. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 34238 `127 `gatsby `gatsby@4 `gatsby@5 accessible advised any are avoid based been code contain could cve default develop develop` development environment exploit expose exposed exposing file frame` framework free gatsby has host host=0 inclusion intentionally interfaces internet introduced issue local localhost mitigates need noted one only open options original other patch paths potentially prior react running scope server should source stack such unable upgrade users using variable versions vulnerability when which would |
| Tags | Vulnerability |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.