PT-2022-16822 · Unknown · Codeigniter4
Mgatner
·
Publicado
2022-02-28
·
Atualizado
2024-03-06
·
CVE-2022-24712
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do CodeIgniter4 anteriores à 4.1.9
Descrição
Uma vulnerabilidade no CodeIgniter4 pode permitir que invasores remotos contornem o mecanismo de proteção contra falsificação de solicitação entre sites (CSRF). Esse problema pode ser explorado quando o roteamento automático está ativado ou desativado, podendo levar a ações não autorizadas. Para mitigar isso, os usuários podem verificar o método de solicitação no método do controlador antes do processamento ou usar verbos HTTP nas rotas em vez de
$routes->add().Recomendações
Para versões anteriores à 4.1.9, atualize para a versão 4.1.9 ou posterior.
Como solução temporária, considere verificar o método de solicitação no método do controlador antes do processamento, por exemplo:
php
if (strtolower($this->request->getMethod()) !== ‘post’) {
return $this->response->setStatusCode(405)->setBody(‘Método não permitido’);
}
Quando o roteamento automático estiver desativado, evite usar
$routes->add() e, em vez disso, use verbos HTTP nas rotas, ou verifique o método de solicitação no método do controlador antes do processamento.Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Codeigniter4