Core de Api-platform Fallos de seguridad encontrados

Vulnerabilidades CVE de Core de Api-platform

API Platform Core es el componente de servidor de API Platform: hipermedia y API GraphQL

CVE-2023-25575 : Las propiedades de los recursos protegidas con la opción `security` del atributo `ApiPlatform\Metadata\ApiProperty` pueden revelarse a usuarios no autorizados. El problema afecta a la mayoría de los formatos de serialización, incluido JSON sin formato, que está habilitado de forma predeterminada al instalar API Platform. Los formatos de serialización personalizados también pueden verse afectados. Solo los extremos de la colección se ven afectados por el problema, los extremos de los elementos no. El formato JSON-LD no se ve afectado por el problema. El resultado de la regla de seguridad solo se ejecuta para el primer elemento de la colección. Luego, el resultado de la regla se almacena en caché y se reutiliza para los siguientes elementos. Este error puede filtrar datos a usuarios no autorizados cuando la regla depende del valor de una propiedad del elemento. Este error también puede ocultar propiedades que deberían mostrarse a los usuarios autorizados. Este problema afecta a las sucursales 2.7, 3.0 y 3.1. Actualice a las versiones 2.7.10, 3.0.12 o 3.1.3. Como solución alternativa, reemplace `cache_key` de la matriz de contexto del serializador dentro de un normalizador personalizado que funcione en objetos si se usa la opción de seguridad del atributo `ApiPlatform\Metadata\ApiProperty`.

CVE-2023-25575 : https://github.com/api-platform/core/security/advisories/GHSA-vr2x-7687-h6qv

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-03-06. Fecha publicación el 2023-03-06. Autor: Oscar olg Mapa del sitio Fuente: cve report