Elysia — это платформа Typescript для проверки запросов, вывода типов, документации OpenAPI и взаимодействия клиент-сервер. До версии 1.4.27 файл cookie Elysia можно было переопределить путем загрязнения прототипа, например. `__прото__`. Эта проблема исправлена в версии 1.4.27.
В качестве обходного пути используйте проверку t.Cookie, чтобы обеспечить соблюдение значения проверки и/или предотвратить повторение по cookie, если это возможно.
Показать оригинальное описание (EN)
Elysia is a Typescript framework for request validation, type inference, OpenAPI documentation, and client-server communication. Prior to version 1.4.27, an Elysia cookie can be overridden by prototype pollution , eg. `__proto__`. This issue is patched in 1.4.27. As a workaround, use t.Cookie validation to enforce validation value and/or prevent iterable over cookie if possible.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Elysiajs Elysia
cpe:2.3:a:elysiajs:elysia:*:*:*:*:*:node.js:*:*
|
— |
1.4.27
|