UptimeFlare — это бессерверное решение для мониторинга времени безотказной работы и страниц состояния, основанное на Cloudflare Workers. Перед фиксацией 377a596 файл конфигурации uptime.config.ts экспортирует как pageConfig (безопасный для использования клиентом), так и workerConfig (только для сервера, содержит конфиденциальные данные) из одного и того же модуля. Из-за того, что страницы/incidents.tsx импортировали и использовали workerConfig непосредственно внутри кода клиентского компонента, весь объект workerConfig был включен в клиентский пакет JavaScript, предоставляемый всем посетителям.
Эта проблема была исправлена посредством фиксации 377a596.
Показать оригинальное описание (EN)
UptimeFlare is a serverless uptime monitoring & status page solution, powered by Cloudflare Workers. Prior to commit 377a596, configuration file uptime.config.ts exports both pageConfig (safe for client use) and workerConfig (server-only, contains sensitive data) from the same module. Due to pages/incidents.tsx importing and using workerConfig directly inside client-side component code, the entire workerConfig object was included in the client-side JavaScript bundle served to all visitors. This issue has been patched via commit 377a596.
Характеристики атаки
Последствия
Строка CVSS v3.1