W bibliotece transloadit uppy w wersji 0.25.6 odkryto krytyczną podatność typu type confusion (CWE-843 — Access of Resource Using Incompatible Type). Błąd otrzymał ocenę CVSS 9.8, co oznacza bardzo wysokie ryzyko dla aplikacji wykorzystujących tę bibliotekę.
▸ Pokaż oryginał (EN)
An issue pertaining to CWE-843: Access of Resource Using Incompatible Type was discovered in transloadit uppy v0.25.6.
Podatność polega na nieprawidłowym dostępie do zasobu przy użyciu niezgodnego typu danych (type confusion). Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które biblioteka przetworzy z użyciem błędnego typu, prowadząc do niezamierzonego zachowania aplikacji. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, co czyni go szczególnie niebezpiecznym.
Skuteczne wykorzystanie podatności może pozwolić atakującemu na uzyskanie nieautoryzowanego dostępu do poufnych danych, modyfikację danych lub zasobów aplikacji, a także zakłócenie jej działania — co odpowiada ocenom C:H/I:H/A:H w skali CVSS.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium projektu (https://github.com/transloadit/uppy) w celu uzyskania informacji o dostępnych poprawkach oraz jak najszybszą aktualizację biblioteki do wersji niezawierającej podatności.
Biblioteka transloadit uppy w wersji 0.25.6
Szczegóły techniczne dotyczące podatności zostały opublikowane w formie publicznego gist pod adresem wskazanym w referencjach, co może ułatwiać opracowanie exploitu.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H