PT-2024-20765 · Fiber · Fiber
Gaby
·
Publicado
2024-02-21
·
Atualizado
2025-02-05
·
CVE-2024-25124
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Fiber anteriores à 2.52.1
Descrição
O problema está relacionado ao middleware CORS no Fiber, que permite configurações inseguras. Especificamente, ele permite definir o cabeçalho Access-Control-Allow-Origin como um curinga (
*) enquanto também mantém o Access-Control-Allow-Credentials definido como true, o que vai contra as melhores práticas de segurança recomendadas. Essa configuração incorreta pode levar ao acesso não autorizado a dados confidenciais do usuário e expor o sistema a vários tipos de ataques. O impacto deste problema é alto.Recomendações
Para versões do Fiber anteriores à 2.52.1, atualize para a versão 2.52.1 para resolver o problema.
Para versões do Fiber anteriores à 2.52.1, como solução alternativa temporária, os usuários podem validar manualmente as configurações CORS em sua implementação para garantir que elas não permitam uma origem curinga quando as credenciais estiverem habilitadas.
Exploit
Correção
Origin Validation Error
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fiber