Page 3 of 14 results (0.005 seconds)

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0

This affects the package fastify-csrf before 3.0.0. 1. The generated cookie used insecure defaults, and did not have the httpOnly flag on: cookieOpts: { path: '/', sameSite: true } 2. The CSRF token was available in the GET query parameter Esto afecta al paquete fastify-csrf versiones anteriores a 3.0.0. 1. La cookie generada usó valores predeterminados no seguros y no tenía el flag httpOnly en: cookieOpts: { path: '/', sameSite: true } 2. • https://github.com/fastify/fastify-csrf/pull/26 https://snyk.io/vuln/SNYK-JS-FASTIFYCSRF-1062044 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-732: Incorrect Permission Assignment for Critical Resource •

CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 2

A denial of service vulnerability exists in Fastify v2.14.1 and v3.0.0-rc.4 that allows a malicious user to trigger resource exhaustion (when the allErrors option is used) with specially crafted schemas. Se presenta una vulnerabilidad denegación de servicio en Fastify versiones v2.14.1 y v3.0.0-rc.4, que permite a un usuario malicioso desencadenar el agotamiento de recursos (cuando es usada la opción allErrors) con esquemas especialmente diseñados • https://github.com/ossf-cve-benchmark/CVE-2020-8192 https://hackerone.com/reports/903521 • CWE-400: Uncontrolled Resource Consumption •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1

Prototype pollution vulnerability in fastify-multipart < 1.0.5 allows an attacker to crash fastify applications parsing multipart requests by sending a specially crafted request. Una vulnerabilidad de contaminación de prototipo en fastify-multipart versiones anteriores a 1.0.5, permite a un atacante bloquear rápidamente las aplicaciones que analizan peticiones multipartes mediante el envío de una petición especialmente diseñada. • https://hackerone.com/reports/804772 • CWE-400: Uncontrolled Resource Consumption •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 2

Fastify node module before 0.38.0 is vulnerable to a denial-of-service attack by sending a request with "Content-Type: application/json" and a very large payload. El módulo de node Fastify, en versiones anteriores a la 0.38.0, es vulnerable a un ataque de denegación de servicio (DoS) mediante el envío de una petición con "Content-Type: application/json" y una carga útil muy grande. • https://github.com/fastify/fastify/pull/627 https://hackerone.com/reports/303632 • CWE-770: Allocation of Resources Without Limits or Throttling •