CVE-2023-47639

API Platform Core can leak exceptions message that may contain sensitive information

CVSS 5.3 MEDIUMEPSS 0.3%CWE-209

En resumen

API Platform Core estaba exponiendo mensajes de error detallados en respuestas JSON que podrían revelar información sensible sobre el sistema. Un atacante podría provocar errores para descubrir detalles sobre el funcionamiento interno de la aplicación.

Detalle técnico

Vulnerabilidad CWE-209 de exposición de información en API Platform Core 3.2.0-3.2.4 donde excepciones que no son HTTP filtran mensajes detallados en respuestas JSON. Un atacante no autenticado puede provocar errores de la aplicación para extraer información sensible sobre el estado interno y la estructura del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.

API Platform Core is a system to create hypermedia-driven REST and GraphQL APIs. From 3.2.0 until 3.2.4, exception messages, that are not HTTP exceptions, are visible in the JSON error response. This vulnerability is fixed in 3.2.5.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Productos afectados

api-platform · core

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/api-platform/core/commit/ba8a7e6538bccebf14c228e43a9339214c4d9201 https://github.com/api-platform/core/pull/5823 https://github.com/api-platform/core/security/advisories/GHSA-rfw5-cqjj-7v9r