PT-2021-18374 · Unknown · Fastify-Csrf
Xhelal Likaj
·
Publicado
2021-05-17
·
Atualizado
2023-05-02
·
CVE-2021-29624
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do fastify-csrf anteriores à 3.1.0
Descrição
O problema afeta aplicativos que utilizam o plugin fastify-csrf com o mecanismo de “envio duplo”, especialmente aqueles implantados em vários subdomínios. Para implementar a proteção de forma completa, os usuários do módulo devem fornecer um
userInfo ao gerar o token CSRF, o que é necessário para aplicativos hospedados em diferentes subdomínios.Recomendações
Para versões anteriores à 3.1.0, atualize para a versão 3.1.0 para corrigir o problema.
Como solução temporária, considere fornecer um
userInfo ao gerar o token CSRF para aumentar a proteção, especialmente para aplicativos hospedados em diferentes subdomínios.Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fastify-Csrf