Katalog CVE

CVE-2026-33221

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Nhost to otwarte źródło alternatywy dla Firebase z GraphQL. Przed wersją 0.12.0, obsługa przesyłania plików w usłudze przechowywania ufała nagłówkowi Content-Type dostarczonemu przez klienta, nie wykonując detekcji typu MIME po stronie serwera. To pozwalało atakującemu na przesyłanie plików z dowolnym typem MIME, omijając wszelkie ograniczenia oparte na typie MIME skonfigurowane na zasobnikach przechowywania.

Ocena ryzyka

Organizacja może być narażona na przesyłanie złośliwych plików, co może prowadzić do wycieku danych lub złośliwego oprogramowania w systemie. Brak odpowiednich ograniczeń może również wpłynąć na integralność przechowywanych danych.

Rekomendacja

Zaleca się aktualizację do wersji 0.12.0 lub nowszej, aby załatać tę podatność. Dodatkowo warto wdrożyć dodatkowe kontrole bezpieczeństwa dotyczące przesyłania plików.

Oryginalny opis (angielski, źródło NVD)

Nhost is an open source Firebase alternative with GraphQL. Prior to version 0.12.0, the storage service's file upload handler trusts the client-provided Content-Type header without performing server-side MIME type detection. This allows an attacker to upload files with an arbitrary MIME type, bypassing any MIME-type-based restrictions configured on storage buckets. This issue has been patched in version 0.12.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS