漏洞描述:
Gofiber 是一个基于Go语言的轻量级web框架,受影响版本中,Web应用中的CORS中间件允许不安全的配置(例如:同时设置Access-Control-Allow-Origin通配符`*`并且Access-Control-Allow-Credentials为true),攻击者可以利用这种不安全的配置,通过构造特定的跨源请求窃取其他用户的用户凭证(如cookies、HTTP认证信息等),浏览器提供的fetch API 以及强制执行 CORS 策略的浏览器和实用程序不受此漏洞影响。
影响范围:
github.com/gofiber/fiber/v2(-∞, 2.52.1)
github.com/gofiber/fiber/v2/middleware/cors(-∞, 2.52.1)
修复方案:
将组件 github.com/gofiber/fiber/v2/middleware/cors 升级至 2.52.1 及以上版本
将组件 github.com/gofiber/fiber/v2 升级至 2.52.1 及以上版本
参考链接:
https://github.com/gofiber/fiber/commit/f0cd3b44b086544a37886232d0530601f2406c23
https://github.com/gofiber/fiber/security/advisories/GHSA-fmg4-x8pw-hjhg
原文始发于微信公众号(飓风网络安全):【漏洞预警】Gofiber 存在CORS凭证泄露漏洞CVE-2024-25124
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论