PT-2022-3324 · Unknown+3 · Go-Restful+3
Publicado
2022-06-06
·
Atualizado
2026-01-30
·
CVE-2022-1996
CVSS v2.0
9.4
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas
Versões do go-restful anteriores à v3.8.0
Descrição
O problema está relacionado a uma burla de autorização por meio de uma chave controlada pelo usuário. Isso poderia permitir que um invasor remoto elevasse seus privilégios. A vulnerabilidade também está relacionada a filtros CORS que utilizam um parâmetro de configuração AllowedDomains, o qual pode corresponder a domínios fora do conjunto especificado, permitindo que um invasor contorne a política CORS. O parâmetro de configuração AllowedDomains é aplicado como correspondências de expressão regular, o que pode levar a correspondências de domínio indesejadas.
Recomendações
Para versões do go-restful anteriores à v3.8.0, atualize para a versão v3.8.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao parâmetro de configuração
AllowedDomains para minimizar o risco de exploração. Evite usar o parâmetro AllowedDomains com valores que possam ser correspondidos como expressões regulares a domínios indesejados até que o problema seja resolvido.Exploit
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Astra Linux
Debian
Suse
Go-Restful