Informazioni sul CVE-2024-25124
Fiber has Insecure CORS Configuration, Allowing Wildcard Origin with Credentials
CWE ID: CWE-346
Base Score (CVSS): N/A
CVE: CVE-2024-25124
Descrizione: “La fibra è un framework web scritto in Go. Prima di versione 2.52.1, il middleware CORS permette configurazioni non sicure che potrebbero potenzialmente esporre l’applicazione a vulnerabilità di sicurezza multiple relative a CORS. Specificamente, consente di impostare l’header Access-Control-Allow-Origin a un wildcard (`*`) mentre anche impostando l’Access-Control-Allow-Credentials a true, il che va contro le migliori pratiche di sicurezza raccomandate. L’impatto di questa configurazione errata è elevato, in quanto può portare a un accesso non autorizzato ai dati sensibili degli utenti e a un’esposizione del sistema a vari tipi di attacchi elencati nell’articolo di PortSwigger collegato nelle referenze. La versione 2.52.1 contiene una patch per questo problema. Come workaround, gli utenti possono validare manualmente le configurazioni CORS nel loro implementazione per assicurarsi che non consentano un wildcard quando le credenziali sono abilitate.”
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: Low.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | L | Low | Interferenza limitata. |
Riferimenti esterni
- https://github.com/gofiber/fiber/security/advisories/GHSA-fmg4-x8pw-hjhg
- https://github.com/gofiber/fiber/commit/f0cd3b44b086544a37886232d0530601f2406c23
- https://codeql.github.com/codeql-query-help/javascript/js-cors-misconfiguration-for-credentials
- https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS/Errors/CORSNotSupportingCredentials
- https://fetch.spec.whatwg.org/#cors-protocol-and-credentials
- https://github.com/gofiber/fiber/releases/tag/v2.52.1
- https://saturncloud.io/blog/cors-cannot-use-wildcard-in-accesscontrolalloworigin-when-credentials-flag-is-true
- http://blog.portswigger.net/2016/10/exploiting-cors-misconfigurations-for.html
Prodotti interessati
- gofiber – fiber
Relazioni con altri prodotti
Produttore:gofiber
Prodotto: fiber
Anno: 2024
CWE: CWE-346
CVSS: 0.0