CVE-2025-47909

Nome do Software Vulnerável e Versões Afetadas Go (versões afetadas não especificadas)

Descrição Hosts listados em TrustedOrigins permitem implicitamente solicitações das origens HTTP correspondentes, potencialmente permitindo que atacantes de rede realizem ataques de Falsificação de Solicitação Entre Sites (CSRF). Após a correção para CVE-2025-24358, um atacante tentando enviar um formulário de http://example.com para https://example.com é impedido porque o cabeçalho Origin é validado contra uma URL sintética usando sameOrigin. No entanto, adicionar um host a TrustedOrigins permite ambas as suas origens HTTP e HTTPS, pois o esquema da URL sintética é ignorado, e apenas o host é verificado. Por exemplo, se um aplicativo hospedado em https://example.com adicionar example.net a TrustedOrigins, um atacante pode disponibilizar um formulário em http://example.net para executar o ataque.

Recomendações Migre para net/http.CrossOriginProtection, introduzido no Go 1.25. Se a migração para net/http.CrossOriginProtection não for viável, utilize o backport disponível como um módulo em filippo.io/csrf. Utilize a substituição direta para a API github.com/gorilla/csrf disponível em filippo.io/csrf/gorilla.