CVE-2022-23624

描述

## 日本語 ### 影響 v0.26.0以前のfrourioを使用している、かつvalidators/を利用している場合、ネストされたバリデータがリクエストのボディーとクエリに対して正しく働かないケースがあります。また、リクエストに対してバリデーションが効かなくなる入力があります。 ### パッチ frourioをv0.26.0かそれ以降のバージョンにアップデートをお願いします。frourio を使用したプロジェクトには `class-transformer` と `reflect-metadata` の依存への追加も必要となります。 ### ワークアラウンド controller側で自分でclass-transformerを使用してチェックする、vaildatorを使わない、など。 ### さらなる情報このセキュリティ勧告に関する質問やコメントについては、以下の方法でお問い合わせいただけます。 * [frourio](https://github.com/frouriojs/frourio)にIssueを開く。 ## English ### Impact Frourio users who uses frourio version prior to v0.26.0 and integration with class-validator through `validators/` folder. Validators does not work properly for request bodies and queries in specific situations. Addtionally, some kind of input is not validated. (false positives) ### Patches Please update your frourio to v0.26.0 or later. You also need to install `class-transformer` and `reflect-metadata` to your project. ### Workarounds Validate objects from request with class-transformer in controllers by yourself, or prevent using validators. ### For more information If you have any questions or comments about this advisory: * Open an issue in [frourio](https://github.com/frouriojs/frourio)

如何修補 CVE-2022-23624

要修補 CVE-2022-23624,請將受影響套件升級到下列已修補版本。

—升級至 0.26.0 或更新版本

CVE-2022-23624 正在被利用嗎?

低 — EPSS 為 0.4%,目前沒有觀察到大規模利用活動。

受影響套件(1)

from 0, < 0.26.0

CVSS 分數

來源	版本	嚴重程度

描述

如何修補 CVE-2022-23624

CVE-2022-23624 正在被利用嗎?

受影響套件(1)

CVSS 分數

參考連結(4)