Vulnerabilidad en lite-dev-server (CVE-2022-25895)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
21/12/2022
Última modificación:
16/04/2025
Descripción
Todas las versiones del paquete lite-dev-server son vulnerables a Directory Traversal debido a la falta de sanitización de entrada y al uso de entornos sandbox para la entrada del usuario req.url que se pasa al código del servidor.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:lite-dev-server_project:lite-dev-server:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://gist.github.com/lirantal/0f8a48c3f5ac581ce73123abe9f7f120
- https://github.com/shadowwzw/lite-dev-server/blob/master/src/server.js%23L134
- https://security.snyk.io/vuln/SNYK-JS-LITEDEVSERVER-3153718
- https://gist.github.com/lirantal/0f8a48c3f5ac581ce73123abe9f7f120
- https://github.com/shadowwzw/lite-dev-server/blob/master/src/server.js%23L134
- https://security.snyk.io/vuln/SNYK-JS-LITEDEVSERVER-3153718