Nhost — это альтернатива Firebase с открытым исходным кодом и GraphQL. До версии 0.12.0 обработчик загрузки файлов службы хранилища доверял предоставленному клиентом заголовку Content-Type без выполнения определения типа MIME на стороне сервера. Это позволяет злоумышленнику загружать файлы с произвольным типом MIME, минуя любые ограничения на основе типа MIME, настроенные для сегментов хранилища.
Эта проблема исправлена в версии 0.12.0.
Показать оригинальное описание (EN)
Nhost is an open source Firebase alternative with GraphQL. Prior to version 0.12.0, the storage service's file upload handler trusts the client-provided Content-Type header without performing server-side MIME type detection. This allows an attacker to upload files with an arbitrary MIME type, bypassing any MIME-type-based restrictions configured on storage buckets. This issue has been patched in version 0.12.0.
Характеристики атаки
Последствия
Строка CVSS v4.0