CVE-2025-24358

Nome do Software Vulnerável e Versões Afetadas gorilla/csrf versões anteriores a 1.7.2

Descrição O problema refere-se a um middleware de prevenção de Cross Site Request Forgery (CSRF) para aplicações e serviços web em Go. Ele não valida o cabeçalho Origin contra uma lista de permitidos nas versões anteriores a 1.7.2. A validação do cabeçalho Referer para solicitações entre origens é executada apenas quando a solicitação é considerada como servida via TLS, determinado pela inspeção do valor r.URL.Scheme. No entanto, esse valor nunca é preenchido para solicitações de "server" conforme a especificação do Go, tornando a verificação ineficaz. Isso permite que um atacante com XSS em um subdomínio ou domínio de nível superior realize envios de formulários autenticados contra alvos protegidos que compartilham o mesmo domínio de nível superior.

Recomendações Para versões anteriores a 1.7.2, atualize para a versão 1.7.2 para corrigir o problema. Como medida de contorno temporária, considere restringir o acesso a envios de formulários sensíveis para minimizar o risco de exploração.