В flitto express-param до 0.x обнаружена уязвимость. Она была классифицирована как критическая. Это затрагивает неизвестную часть файла lib…
В flitto express-param до 0.x обнаружена уязвимость. Она была классифицирована как критическая. Это затрагивает неизвестную часть файла lib/fetchParams.js. Манипуляция приводит к неправильной обработке дополнительных параметров. Можно инициировать атаку удаленно. Обновление до версии 1.0.0 позволяет решить эту проблему. Идентификатор патча — db94f7391ad0a16dcfcba8b9be1af385b25c42db. Рекомендуется обновить затронутый компонент. Этой уязвимости был присвоен идентификатор VDB-217149.
Продукт не обрабатывает или некорректно обрабатывает ситуацию, когда количество параметров, полей или аргументов с одинаковым именем превышает ожидаемое.
https://cwe.mitre.org/data/definitions/235.html →Открыть в коллекции CWE →Злоумышленник добавляет дублирующиеся параметры HTTP GET/POST путём внедрения разделителей строки запроса. С помощью HPP можно переопределить существующие жёстко заданные HTTP-параметры, изменить поведение приложения, получить доступ к неконтролируемым переменным и потенциально эксплуатировать их, а также обойти контрольные точки проверки входных данных и правила WAF.
https://capec.mitre.org/data/definitions/460.html →Открыть в коллекции CAPEC →