开发人员注意:速修复这个严重的 Fiber Go 漏洞!
开发人员注意:速修复这个严重的 Fiber Go 漏洞!
DO SON 代码卫士 2024-02-23 18:24
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
使用 Fiber Go web 框架的开发人员应立即修复位于中间件 CORS 中的一个严重漏洞CVE-2024-25124(CVSS评分9.4)。该漏洞是因为在同步启用凭据时允许CORS 配置中出现通配符Origin (“*”) 导致的。
Fiber 是基于 Go 语言开发的快速、灵活且高性能的 web 框架,基于快速的HTTP 路由器和高性能的HTTP处理程序。
权限过度的CORS
CORS 是一种重要的机制,使 web 应用能够在不同域名之间安全地共享资源。错误配置 CORS 可为攻击者带来机会。CVE-2024-25124 的问题在于结合通配符 Origin (“*”) 与已启用的凭据的设置,这种组合违反了 web 安全最佳实践并可导致:
-
越权数据访问:敏感的用户信息可被泄露给恶意网站。
-
跨站点请求伪造 (CSRF):攻击者可诱骗用户在 web app 上执行有害操作。
-
其它web利用:为大量基于 web 的攻击创造启动面板。
安全公告提到,“CORS 中间件可允许不安全的配置,从而可能将应用暴露到多个与CORS关联的漏洞。具体而言,该漏洞可为通配符(“*”)设置 Access-Control-Allow-Origin 标头,同时将 Access-Control-Allow-Credentials 设置为真,这与所建议的安全最佳实践相悖。”
受影响版本
使用 Fiber 2.52.1之前版本的任何应用均易受攻击。如果不确定所使用版本情况,则应立即升级。
-
升级:修复方案已在 Fiber 2.52.1及后续版本中推出。
-
人工审计:查看现有的 CORS 配置。在启用凭据时不要允许使用通配符origin (“*”),确保CORS配置的安全。
-
安全最佳实践:熟悉CORS安全配置实践。
代码卫士试用地址:
https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
GitHub 上的1.5万个 Go 模块仓库易受 repojacking 攻击
原文链接
Urgent Alert for Developers: Fix the Critical Fiber Go CVE-2024-25124 Vulnerability Now
题图:
Pixabay
License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “
在看
” 或 “
赞
” 吧~