CRITICAL🇬🇧 English

CVE-2025-70023

Type Confusion (CWE-843) w bibliotece transloadit uppy v0.25.6

CVSS 9.8v3.1pub. 2026-04-14upd. 2026-04-17

W bibliotece transloadit uppy w wersji 0.25.6 odkryto krytyczną podatność typu type confusion (CWE-843 — Access of Resource Using Incompatible Type). Błąd otrzymał ocenę CVSS 9.8, co oznacza bardzo wysokie ryzyko dla aplikacji wykorzystujących tę bibliotekę.

Pokaż oryginał (EN)

An issue pertaining to CWE-843: Access of Resource Using Incompatible Type was discovered in transloadit uppy v0.25.6.

🤖 Analiza AI
Jak działa

Podatność polega na nieprawidłowym dostępie do zasobu przy użyciu niezgodnego typu danych (type confusion). Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które biblioteka przetworzy z użyciem błędnego typu, prowadząc do niezamierzonego zachowania aplikacji. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, co czyni go szczególnie niebezpiecznym.

Skutki

Skuteczne wykorzystanie podatności może pozwolić atakującemu na uzyskanie nieautoryzowanego dostępu do poufnych danych, modyfikację danych lub zasobów aplikacji, a także zakłócenie jej działania — co odpowiada ocenom C:H/I:H/A:H w skali CVSS.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium projektu (https://github.com/transloadit/uppy) w celu uzyskania informacji o dostępnych poprawkach oraz jak najszybszą aktualizację biblioteki do wersji niezawierającej podatności.

Kogo dotyczy

Biblioteka transloadit uppy w wersji 0.25.6

Uwagi

Szczegóły techniczne dotyczące podatności zostały opublikowane w formie publicznego gist pod adresem wskazanym w referencjach, co może ułatwiać opracowanie exploitu.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje