Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Dart URI (CVE-2022-3095)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/10/2022
Última modificación:
31/10/2022

Descripción

La implementación del análisis de barra invertida en la clase Dart URI para versiones anteriores a 2.18 y versiones de Flutter anteriores a 3.30 difiere de los estándares de URL de WhatWG. Dart utiliza la sintaxis RFC 3986, que crea incompatibilidades con los caracteres '\' en los URI, lo que puede provocar una omisión de autenticación en las aplicaciones web que interpretan los URI. Recomendamos actualizar Dart o Flutter para mitigar el problema.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:dart:dart_software_development_kit:*:*:*:*:*:*:*:* 2.18.0 (excluyendo)
cpe:2.3:a:flutter:flutter:*:*:*:*:*:*:*:* 3.3.3 (excluyendo)


Referencias a soluciones, herramientas e información