CVE-2018-3712
https://notcve.org/view.php?id=CVE-2018-3712
serve node module before 6.4.9 suffers from a Path Traversal vulnerability due to not handling %2e (.) and %2f (/) and allowing them in paths, which allows a malicious user to view the contents of any directory with known path. El módulo de node serve en versiones anteriores a la 6.4.9 sufre de una vulnerabilidad de salto de directorio debido a que no gestiona %2e (.) y %2f (/), lo que permite que un usuario malicioso vea contenido de cualquier archivo con una ruta conocida. • https://github.com/ossf-cve-benchmark/CVE-2018-3712 https://github.com/zeit/serve/pull/316 https://hackerone.com/reports/307666 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2018-3809
https://notcve.org/view.php?id=CVE-2018-3809
Information exposure through directory listings in serve 6.5.3 allows directory listing and file access even when they have been set to be ignored. Fuga de información mediante listados de directorios en serve 6.5.3 permite el listado de directorios y el acceso a archivos incluso aunque se hayan establecido para ser ignorados. • https://hackerone.com/reports/330650 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2018-6184
https://notcve.org/view.php?id=CVE-2018-6184
ZEIT Next.js 4 before 4.2.3 has Directory Traversal under the /_next request namespace. ZEIT Next.js 4 en versiones anteriores a la 4.2.3 tiene un salto de directorio bajo el espacio de nombre de petición /_next. • https://github.com/ossf-cve-benchmark/CVE-2018-6184 https://github.com/zeit/next.js/releases/tag/4.2.3 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2017-16877
https://notcve.org/view.php?id=CVE-2017-16877
ZEIT Next.js before 2.4.1 has directory traversal under the /_next and /static request namespace, allowing attackers to obtain sensitive information. ZEIT Next.js en versiones anteriores a la 2.4.1 contiene salto de directorio en el espacio de nombre de petición /_next y /static, lo que permite que los atacantes obtengan información sensible. • https://github.com/ossf-cve-benchmark/CVE-2017-16877 https://github.com/vercel/next.js/commit/02fe7cf63f6265d73bdaf8bc50a4f2fb539dcd00 https://github.com/zeit/next.js/releases/tag/2.4.1 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •