CVE-2022-23624
Validation bypass in frourio-express
Description
## 日本語 ### 影響 v0.26.0以前のfrourioを使用している、かつvalidators/を利用している場合、ネストされたバリデータがリクエストのボディーとクエリに対して正しく働かないケースがあります。また、リクエストに対してバリデーションが効かなくなる入力があります。 ### パッチ frourioをv0.26.0かそれ以降のバージョンにアップデートをお願いします。frourio を使用したプロジェクトには `class-transformer` と `reflect-metadata` の依存への追加も必要となります。 ### ワークアラウンド controller側で自分でclass-transformerを使用してチェックする、vaildatorを使わない、など。 ### さらなる情報 このセキュリティ勧告に関する質問やコメントについては、以下の方法でお問い合わせいただけます。 * [frourio](https://github.com/frouriojs/frourio)にIssueを開く。 ## English ### Impact Frourio users who uses frourio version prior to v0.26.0 and integration with class-validator through `validators/` folder. Validators does not work properly for request bodies and queries in specific situations. Addtionally, some kind of input is not validated. (false positives) ### Patches Please update your frourio to v0.26.0 or later. You also need to install `class-transformer` and `reflect-metadata` to your project. ### Workarounds Validate objects from request with class-transformer in controllers by yourself, or prevent using validators. ### For more information If you have any questions or comments about this advisory: * Open an issue in [frourio](https://github.com/frouriojs/frourio)
How to fix CVE-2022-23624
To remediate CVE-2022-23624, upgrade the affected package to a fixed version below.
- —upgrade to 0.26.0 or later
Is CVE-2022-23624 being exploited?
Low — EPSS is 0.4%, meaning exploitation activity has not been observed at scale.
Affected packages (1)
- from 0, < 0.26.0