Feathers
Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
9.3
Макс. EPSS
0.00963
Распределение по критичности
Критический
2
Высокий
4
Средний
0
Низкий
0
Затронутые диапазоны версий
5.0.0–5.0.42< 4.5.18< 5.0.40
Также сопоставлено как (исходные строки): feathers
Топ уязвимостей
CVE-2026-29793Feathersjs - это фреймворк для создания веб-акситеров и приложений реального времени с TypeScript или JavaScript. От 5.0.0 до 5.0.42 клиенты Socket.IO могут отправлять произвольные объекты JavaScript в качестве аргумента id в любой метод обслуживания (get, patch, update, remove). Транспортный слой не выполняет тип проверки этого аргумента. Когда служба использует адаптер MongoDB, эти объекты проходят через getObjectId() и попадают непосредственно в запрос MongoDB в качестве операторов. Отправка {$ne: null} в качестве id соответствует каждому документу в коллекции. Эта уязвимость зафиксирована в 5.0.42.
CVE-2026-29792Feathersjs - это фреймворк для создания веб-акситеров и приложений реального времени с TypeScript или JavaScript. С 5.0.0 до 5.0.42, неаутентифицированный злоумышленник может отправить созданный запрос GET непосредственно на /oauth/:provider/callback с поддельным профилем в строке запроса. Полезная нагрузка службы аутентификации OAuth имеет резервную цепочку, которая достигает params.query (необработанный запрос запроса), когда сессия/государственная ответы Гранта пусты. Поскольку злоумышленник никогда не инициировал санкционированный поток OAuth, у Гранта нет сеанса для работы и нет никакого ответа, поэтому задний огонь. Затем поддельный профиль стимулирует поиск сущности и чеканку JWT. Агрессор получает действительный токен доступа для существующего пользователя, не связываясь с провайдером OAut. Эта уязвимость зафиксирована в 5.0.42.
CVE-2026-27193Feathersjs - это фреймворк для создания веб-акси-Айфайлов и приложений реального времени с TypeScript или JavaScript. В версиях 5.0.39 и ниже все заголовки HTTP-запросов хранятся в сессионном файле cookie, который подписан, но не зашифрован, выдавая клиентам внутренние заголовки прокси/ворот. Сервис OAuth хранит полный объект заголовка в сеансе, затем сеанс сохраняется с помощью cookie-сессии, которая base64 кодирует данные. В то время как файл cookie подписан, чтобы предотвратить подделку, содержимое читается кем угодно, просто расшифровывая значение base64. В соответствии с определенными конфигурациями развертывания (например, за обратными прокси или шлюзами API) это может привести к воздействию конфиденциальных деталей внутренней инфраструктуры, таких как ключи API, командные токены и внутренние IP-адреса. Эта проблема исправлена в версии 5.0.40.
CVE-2026-27192Feathersjs - это фреймворк для создания веб-акси-Айфайлов и приложений реального времени с TypeScript или JavaScript. В версиях 5.0.39 и ниже валидация происхождения начинается с () для сравнения, позволяя злоумышленникам обходить проверку, регистрируя домен, который разделяет общий префикс с разрешенным происхождением. Функция getAllowedOrigin() проверяет, начинается ли заголовок рефера с любого разрешенного происхождения, и это сравнение недостаточно, поскольку он только проверяет префикс. Это можно использовать, когда массив происхождения настроен, и злоумышленник регистрирует домен, начинаемый с разрешенной строки происхождения (например, https://target.attacker.com обходит https://target.com). Сами по себе токены все еще перенаправляются в сконфигурированное происхождение. Однако в конкретных сценариях злоумышленник может инициировать поток OAuth от несанкционированного происхождения и эксфильтровать токены, достигая полного захвата учетной записи. Эта проблема исправлена в версии 5.0.40.
CVE-2023-37899Feathersjs - это фреймворк для создания веб-API и приложений реального времени с использованием TypeScript или JavaScript. Обработчик сокетов Feathers не перехватывал ошибки преобразования недопустимых строк, такие как `const message = ${{ toString: '' }}`, которые приводили к сбою процесса NodeJS при отправке неожиданного сообщения Socket.io, такого как `socket.emit('find', { toString: '' })`. Исправление было выпущено в версиях 5.0.8 и 4.5.18. Пользователям рекомендуется выполнить обновление. Известных обходных путей для этой уязвимости нет.
CVE-2026-27191Feathersjs - это фреймворк для создания веб-акси-Айфайлов и приложений реального времени с TypeScript или JavaScript. Версии 5.0.39 и ниже параметр запроса перенаправления прилагаются к базовому происхождению без проверки, что позволяет злоумышленникам красть токены доступа с помощью инъекции URL-адреса. Это приводит к полному захвату счета, поскольку злоумышленник получает токен доступа жертвы и может выдавать себя за них. Приложение создает окончательный URL-адрес перенаправления, конкатенируя базовый источник с параметром перенаправления, поставляемым пользователем. Это может быть использовано, когда массив происхождения настроен, и значения происхождения не заканчиваются /. Злоумышленник может предоставить @attacker.com в качестве значения перенаправления в https://target.com@attacker.com#access_token=..., где браузер интерпретирует tarker.com как хоста, что приводит к полному захвату учетной записи. Эта проблема исправлена в версии 5.0.40.