8.1

CVSS Score

3.1

Basic Information

CVE ID

CVE-2022-23623

GHSA ID

GHSA-8xxm-h73r-ghfj

EPSS Score

0.57327%

CWE

CWE-20

Published

2/7/2022

Updated

7/13/2023

KEV Status

Technology

JavaScript

Concerned about an active attack path?

Talk to our security experts and see Miggo in action.

Miggo Vulnerability Database

→

CVE-2022-23623

CVE-2022-23623:
Validation bypass in frourio

日本語

影響

v0.26.0以前のfrourioを使用している、かつvalidators/を利用している場合、ネストされたバリデータがリクエストのボディーとクエリに対して正しく働かないケースがあります。また、リクエストに対してバリデーションが効かなくなる入力があります。

パッチ

frourioをv0.26.0かそれ以降のバージョンにアップデートをお願いします。frourio を使用したプロジェクトには class-transformer と reflect-metadata の依存への追加も必要となります。

ワークアラウンド

controller側で自分でclass-transformerを使用してチェックする、vaildatorを使わない、など。

さらなる情報

このセキュリティ勧告に関する質問やコメントについては、以下の方法でお問い合わせいただけます。

frourioにIssueを開く。

English

Impact

Frourio users who uses frourio version prior to v0.26.0 and integration with class-validator through validators/ folder. Validators does not work properly for request bodies and queries in specific situations. Addtionally, some kind of input is not validated. (false positives)

Patches

Please update your frourio to v0.26.0 or later. You also need to install class-transformer and reflect-metadata to your project.

Workarounds

Validate objects from request with class-transformer in controllers by yourself, or prevent using validators.

For more information

If you have any questions or comments about this advisory:

Open an issue in frourio

(GitHub Advisory)

8.1

CVSS Score

3.1

Basic Information

CVE ID

CVE-2022-23623

GHSA ID

GHSA-8xxm-h73r-ghfj

EPSS Score

0.57327%

CWE

CWE-20

Published

2/7/2022

Updated

7/13/2023

KEV Status

Technology

JavaScript

Technical Details

CVSS Vector

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Package Name	Ecosystem	Vulnerable Versions	First Patched Version
frourio	npm	< 0.26.0	0.26.0

Vulnerability Intelligence
Miggo AI

Root Cause Analysis

The vulnerability stems from using Object.assign() to create validator class instances from request data. This approach fails to properly handle nested object structures and class-validator decorators' metadata requirements. The patched commit explicitly replaces these Object.assign() calls with class-transformer's plainToInstance() method, which properly handles nested validation through type transformation and metadata reflection. The affected code paths are found in multiple server configuration files ($server.ts) where request validation occurs.

Vulnerable functions

Only Mi**o us*rs **n s** t*is s**tion

WAF Protection Rules

WAF Rule

## 日本語 ### 影響 v*.**.*以前の*rourioを使用している、かつv*li**tors/を利用している場合、ネストされたバリデータがリクエストのボディーとクエリに対して正しく働かないケースがあります。また、リクエストに対してバリデーションが効かなくなる入力があります。 ### パッチ *rourioをv*.**.*かそれ以降のバージョンにアップデートをお願いします。*rourio を使用したプロジェクトには `*l*ss-tr*ns*orm*r` と `r**l**t-m*t

Reasoning

T** vuln*r**ility st*ms *rom usin* `O*j**t.*ssi*n()` to *r**t* v*li**tor *l*ss inst*n**s *rom r*qu*st **t*. T*is *ppro*** **ils to prop*rly **n*l* n*st** o*j**t stru*tur*s *n* `*l*ss-v*li**tor` ***or*tors' m*t***t* r*quir*m*nts. T** p*t**** *ommit *x

8.1

Basic Information

Concerned about an active attack path?

CVE-2022-23623: Validation bypass in frourio

日本語

影響

パッチ

ワークアラウンド

さらなる情報

English

Impact

Patches

Workarounds

For more information

8.1

Basic Information

Technical Details

Vulnerability IntelligenceMiggo AI

Root Cause Analysis

Vulnerable functions

WAF Protection Rules

WAF Rule

Reasoning

CVE-2022-23623:
Validation bypass in frourio

Vulnerability Intelligence
Miggo AI