CVE-2023-47639

API Platform Core can leak exceptions message that may contain sensitive information

CVSS 5.3 MEDIUMEPSS 0.3%CWE-209

Em resumo

API Platform Core estava expondo mensagens de erro detalhadas em respostas JSON que poderiam revelar informações sensíveis sobre o sistema. Um atacante poderia provocar erros para descobrir detalhes sobre o funcionamento interno da aplicação.

Detalhe técnico

Vulnerabilidade CWE-209 de exposição de informações no API Platform Core 3.2.0-3.2.4 onde exceções que não são HTTP vazam mensagens detalhadas em respostas JSON. Um atacante não autenticado pode provocar erros da aplicação para extrair informações sensíveis sobre o estado interno e estrutura do sistema.

Resumo gerado e traduzido por IA a partir da descrição oficial.

API Platform Core is a system to create hypermedia-driven REST and GraphQL APIs. From 3.2.0 until 3.2.4, exception messages, that are not HTTP exceptions, are visible in the JSON error response. This vulnerability is fixed in 3.2.5.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Produtos afetados

api-platform · core

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/api-platform/core/commit/ba8a7e6538bccebf14c228e43a9339214c4d9201 https://github.com/api-platform/core/pull/5823 https://github.com/api-platform/core/security/advisories/GHSA-rfw5-cqjj-7v9r