@jhb.software/payload-cloudinary-plugin: Arbitrary Cloudinary API Parameter Signing — GHSA-H5X8-XP6M-X6Q4
GitHub · GitHub · GHSA-H5X8-XP6M-X6Q4
ID
GHSA-H5X8-XP6M-X6Q4
GHSA-H5X8-XP6M-X6Q4
Date
Activity
Source
GitHub
GitHub
Fournisseur
GitHub
GitHub
Risque
high
high
CVSS
7.1
7.1
Résumé
## Arbitrary Cloudinary API Parameter Signing in @jhb.software/payload-cloudinary-plugin ### Summary `@jhb.software/payload-cloudinary-plugin` v0.3.4 exposes a server-side signing endpoint (`POST /api/cloudinary-generate-signature`) that passes attacker-supplied `paramsToSign` directly to `cloudinary.utils.api_sign_request()` without any allowlist, key filtering, or policy enforcement. Any authenticated Payload…
Produit
npm: @jhb.software/payload-cloudinary-plugin
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.