Vulnerabilidad en easy-static-server (CVE-2022-25931)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
20/12/2022
Última modificación:
16/04/2025
Descripción
Todas las versiones del paquete easy-static-server son vulnerables a Directory Traversal debido a la falta de sanitización de entrada y al uso de entornos sandbox para la entrada del usuario req.url que se pasa al código del servidor.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:easy-static-server_project:easy-static-server:*:*:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://gist.github.com/lirantal/fdfbe26561788c8194a54bf6d31772c9
- https://github.com/cunjieliu/easyServer/blob/master/index.js%23L27
- https://security.snyk.io/vuln/SNYK-JS-EASYSTATICSERVER-3153539
- https://gist.github.com/lirantal/fdfbe26561788c8194a54bf6d31772c9
- https://github.com/cunjieliu/easyServer/blob/master/index.js%23L27
- https://security.snyk.io/vuln/SNYK-JS-EASYSTATICSERVER-3153539