Vulnerabilidad en la validación de entrada validate() en TypeStack class-validator (CVE-2019-18413)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

24/10/2019

Última modificación:

28/02/2023

Descripción

En TypeStack class-validator versión 0.10.2, la validación de entrada validate() puede ser omitida porque ciertos atributos internos se pueden sobrescribir por medio de un nombre en conflicto. Aunque existe un parámetro opcional forbidUnknownValues ??que puede ser utilizado para reducir el riesgo de esta omisión, esta opción no está documentada y, por lo tanto, la mayoría de los desarrolladores configuran la validación de entrada de una manera predeterminada vulnerable. Con esta vulnerabilidad, los atacantes pueden iniciar ataques de inyección SQL o de tipo XSS mediante la inyección de entradas maliciosas arbitrarias. NOTA: un mantenedor de software está de acuerdo con que el hallazgo "is not documented" pero sugiere que gran parte de la responsabilidad del riesgo recae en un producto diferente.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico