Vulnerabilidades CVE de LiteDB de Mbdavid
LiteDB es una base de datos integrada .NET NoSQL pequeña, rápida y liviana
24 de febrero del 2023
- CVE-2022-23535: Las versiones anteriores a la 5.0.13 están sujetas a la deserialización de datos que no son de confianza. LiteDB usa un campo especial en los documentos JSON para convertir diferentes tipos de `BsonDocument` a clases POCO.
- Cuando las instancias de un objeto no son de la misma clase, `BsonMapper` usa un campo especial de información de cadena `_type` con el nombre completo de la clase con ensamblaje para cargarlo y ajustarlo a su modelo.
- Si su usuario final puede enviar a su aplicación una cadena JSON simple, la deserialización puede cargar un objeto no seguro para que encaje en su modelo.
- Este problema está parcheado en la versión 5.0.13 con algunas correcciones básicas para evitarlo, pero no está 100% garantizado cuando se usa el tipo `Objeto`. La próxima versión principal contendrá una lista de permitidos para seleccionar qué tipo de ensamblaje se puede cargar.
- Las soluciones alternativas se detallan en el aviso del proveedor.
Sitios de referencia
- CVE-2022-23535:
https://github.com/mbdavid/LiteDB/commit/4382ff4dd0dd8b8b16a4e37dfd29727c5f70f93f
Otras paginas de vulnerabilidades CVE
- Koel
- Peacexie imcat
- Apache airflow aws provider
- Markdown electron
- Ecostruxuretm geo scada expert 2019
- Twister
- vigor 2960
- vox2png
- Sourcecodester moosikay e commerce system
- Alphaware simple e commerce system
- Muyucms
- Marktext
- Libheif
- Shirasagi
- sanitize-url
- Mantisbt
- Cisco nx os en modo aci
- Cisco application policy infrastructure controller apic
- Cisco unified computing system managed
- Gnupg
- Quarkus
- Rocket.chat
¿Quieres encontrar más vulnerabilidades?.
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️
Fecha actualización el 2023-02-28. Fecha publicación el 2023-02-28. Autor: Oscar olg Mapa del sitio Fuente: cve report