Softwaremill · Akka-Http-Session · CVE-2020-28452
**Nome do software vulnerável e versões afetadas:
com.softwaremill.akka-http-session:core 2.12, versões 0 a 0.6.1
com.softwaremill.akka-http-session:core 2.11, versões 0 e posteriores
com.softwaremill.akka-http-session:core 2.13 versões 0 a 0.6.1
Descrição:
A vulnerabilidade permite que a proteção CSRF seja contornada através da falsificação de uma solicitação que contenha o mesmo valor tanto para o cabeçalho `X-XSRF-TOKEN` quanto para o valor do cookie `XSRF-TOKEN`. Isso ocorre porque a verificação em `randomTokenCsrfProtection` apenas verifica se os dois valores são iguais e não estão vazios.
Recomendações:
Para com.softwaremill.akka-http-session:core 2.12 versões 0 a 0.6.1, atualize para a versão 0.6.1 ou posterior para resolver o problema.
Para com.softwaremill.akka-http-session:core 2.11, considere desativar a função `randomTokenCsrfProtection` até que um patch esteja disponível.
Para as versões 0 a 0.6.1 do com.softwaremill.akka-http-session:core 2.13, atualize para a versão 0.6.1 ou posterior para resolver o problema.