Validation bypass in frourio-express

日本語

影響

v0.26.0以前のfrourioを使用している、かつvalidators/を利用している場合、ネストされたバリデータがリクエストのボディーとクエリに対して正しく働かないケースがあります。また、リクエストに対してバリデーションが効かなくなる入力があります。

パッチ

frourioをv0.26.0かそれ以降のバージョンにアップデートをお願いします。frourio を使用したプロジェクトには class-transformer と reflect-metadata の依存への追加も必要となります。

ワークアラウンド

controller側で自分でclass-transformerを使用してチェックする、vaildatorを使わない、など。

さらなる情報

このセキュリティ勧告に関する質問やコメントについては、以下の方法でお問い合わせいただけます。

• frourioにIssueを開く。

English

Impact

Frourio users who uses frourio version prior to v0.26.0 and integration with class-validator through validators/ folder. Validators does not work properly for request bodies and queries in specific situations. Addtionally, some kind of input is not validated. (false positives)

Patches

Please update your frourio to v0.26.0 or later. You also need to install class-transformer and reflect-metadata to your project.

Workarounds

Validate objects from request with class-transformer in controllers by yourself, or prevent using validators.

For more information

If you have any questions or comments about this advisory:

• Open an issue in frourio