Guzzle针对跨域cookie泄漏漏洞发布补丁

Guzzle 是流行的PHP应用程序 HTTP 客户端，其维护者已经解决了一个导致跨域 cookie 泄漏的严重漏洞。

开源内容管理系统(CMS)Drupal是使用第三方库的应用程序之一，并已发布解决该问题的软件更新。

该漏洞存在于Guzzle的cookie中间件中，该中间件默认禁用，“因此大多数图书馆消费者不会受到此问题的影响”，Guzzle维护者周三（5月25日）发布的GitHub安全公告中写道。

跟踪为CVE-2022-29248，该错误集中在无法检查cookie域是否等于通过Set-Cookie标头设置cookie的服务器的域。这将允许“恶意服务器为不相关的域设置cookie”，继续公告。

“例如，www.example.com上的攻击者可能会为api.example.net设置会话cookie，将Guzzle客户端登录到他们的账户，并从他们账户的安全日志中检索私有API请求。”

Guzzle用于从PHP程序为各种用例发送HTTP请求。

PSR-7兼容库在GitHub上已接近22,000颗星，Adobe的电子商务平台Magento以及其他应用程序以及流行的PHP Web应用程序框架Laravel也使用该库。

但是，只有“手动将cookie中间件添加到处理程序堆栈或使用['cookies' => true]构建客户端”的用户会受到影响，解释说。他们还必须使用相同的Guzzle客户端来调用多个域并启用重定向转发以使其易受攻击。

Guzzle维护人员已修复版本6.5.6、7.4.3和7.5.0中的漏洞，并建议用户确保禁用cookie中间件，除非需要cookie支持。

在与Guzzle对应的同一天发布的安全公告中，Drupal表示Guzzle漏洞“不会影响Drupal核心，但可能会影响Drupal站点上的一些贡献项目或自定义代码”。

该问题已在Drupal版本9.3.14和9.2.20中修复，不再支持以前的Drupal 9版本。Drupal 7不受该缺陷的影响。

Drupal根据自己的严重程度将该错误归类为“中度严重”，在25分中给出13分。

原文始发于微信公众号（郑州网络安全）：Guzzle针对跨域cookie泄漏漏洞发布补丁