PT-2022-24868 · Unknown · Codeigniter
Mgatner
·
Publicado
2022-10-06
·
Atualizado
2024-03-06
·
CVE-2022-39284
CVSS v3.1
2.6
Baixa
| Vetor | AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do CodeIgniter anteriores à 4.2.7
Descrição
O problema ocorre quando a definição do valor de
$secure ou $httponly como true em ConfigCookie não é refletida em set cookie() ou Response::setCookie(), fazendo com que os valores dos cookies sejam expostos indevidamente a scripts. Esta vulnerabilidade não afeta cookies de sessão.Recomendações
Para versões anteriores à 4.2.7, atualize para a v4.2.7 ou posterior.
Como solução temporária, considere especificar as opções explicitamente, definindo
‘secure’ e ‘httponly’ como true na matriz de cookies.Como alternativa, crie objetos Cookie para garantir o manuseio seguro dos cookies.
Por exemplo, especifique as opções explicitamente:
php
$cookie = [
‘name’ => $name,
‘value’ => $value,
‘secure’ => true,
‘httponly’ => true,
];
set cookie($cookie);
// ou
$this->response->setCookie($cookie);
Ou use o objeto Cookie:
php
use CodeIgniterCookieCookie;
$cookie = new Cookie($name, $value);
set cookie($cookie);
// ou
$this->response->setCookie($cookie);
Exploit
Correção
Incorrect Permission
Improper Initialization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Codeigniter