PT-2020-19789 · Softwaremill · Akka-Http-Session

Willem Vermeer

·

Publicado

2020-11-27

·

Atualizado

2022-02-09

·

CVE-2020-7780

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
com.softwaremill.akka-http-session:core 2.13 versões anteriores à 0.5.11
com.softwaremill.akka-http-session:core 2.12 versões anteriores à 0.5.11
com.softwaremill.akka-http-session:core 2.11 versões anteriores à 0.5.11
Descrição
O problema afeta versões mais antigas do pacote com.softwaremill.akka-http-session, nas quais os endpoints protegidos por randomTokenCsrfProtection poderiam ser contornados com um cabeçalho X-XSRF-TOKEN vazio e um cookie XSRF-TOKEN vazio.
Recomendações
Para versões do com.softwaremill.akka-http-session:core 2.13 anteriores à 0.5.11, atualize para a versão 0.5.11 ou posterior.
Para versões do com.softwaremill.akka-http-session:core 2.12 anteriores à 0.5.11, atualize para a versão 0.5.11 ou posterior.
Para versões anteriores à 0.5.11 do com.softwaremill.akka-http-session:core 2.11, atualize para a versão 0.5.11 ou posterior.
Como solução temporária, considere desativar o recurso randomTokenCsrfProtection até que um patch esteja disponível.

Correção

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-352

Identificadores relacionados

CVE-2020-7780
GHSA-Q42Q-523G-3FWV
SNYK-JAVA-COMSOFTWAREMILLAKKAHTTPSESSION-1045352
SNYK-JAVA-COMSOFTWAREMILLAKKAHTTPSESSION-1046654
SNYK-JAVA-COMSOFTWAREMILLAKKAHTTPSESSION-1046655

Produtos afetados

Akka-Http-Session