第三方库 Guzzle 修复高危的跨域 cookie 泄露漏洞,影响 Drupal等
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士PHP 应用程序的热门HTTP客户端 Guzzle 的维护人员,修复了一个可导致跨域cookie 泄露的高危漏洞 (CVE-2022-29248)。开源的内容管理系统 Drupal 是使用该第三方库的应用程序之一,目前已发布软件更新解决了这个问题。该漏洞位于Guzzle 的 cookie 中间件中,默认禁用。Guzzle...
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
PHP 应用程序的热门HTTP客户端 Guzzle 的维护人员,修复了一个可导致跨域cookie 泄露的高危漏洞 (CVE-2022-29248)。
开源的内容管理系统 Drupal 是使用该第三方库的应用程序之一,目前已发布软件更新解决了这个问题。该漏洞位于Guzzle 的 cookie 中间件中,默认禁用。Guzzle 的一名维护人员在所发布的 GitHub 安全公告中指出,“因此大多数库用户不受该漏洞影响”。
01
Cookie 崩溃
该漏洞的编号为CVE-2022-29248,是因为对 cookie域是否和服务器的域一样的检查失败而引发,可导致‘’恶意服务器为不相关的域名设置 cookie”,“例如,www.example.com 的攻击者可能会为 api.example.net 设置会话 cookie,将Guzzle 客户端登录到账户并从账户的安全日志中检索私密API请求”。
Guzzle 用于向多种用例从PHP程序发送HTTP请求。
这个PSR-7兼容库在GitHub 上接近2.2万个star,同时由 Adobe 的电商平台 Magento以及流行的PHP web 应用框架 Laravel 使用。
然而,只有“手动将 cookie 中间件添加到句柄栈或者用 ['cookies' => true] 构建客户端的用户才受影响”。用户还必须使用同样的 Guzzle 客户端来调用多个域名并在启用重定向转发的情况下才易受攻击。
Guzzle 维护人员在版本 6.5.6、7.4.3 和 7.5.0 中修复了该漏洞,并建议用户确保禁用了中间件,要求cookie 支持的情况除外。
02
Drupal 更新
Drupal 发布安全公告称,该 Guzzle 漏洞“并不影响 Drupal 内核,但可能影响 Drupal 站点上的某些贡献项目或自定义代码”。该漏洞已在 Drupal 版本 9.3.14和9.2.20中修复,此前的 Drupal 9 版本不再受支持。Drupal 7 不受影响。
Drupal 将该漏洞评级为“中危”级别,按照自己的评分标准给出了13分(总分25分)。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
第三方XML解析器Expat有多个严重漏洞,IBM、Linux等纷纷打补丁
Okta 结束Lapsus$ 供应链事件调查,称将加强第三方管控
Okta CEO 改口证实第三方账户受陷且影响客户,LAPSUS$扬言发动供应链攻击
原文链接
https://portswigger.net/daily-swig/patch-released-for-cross-domain-cookie-leakage-flaw-in-guzzle
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
更多推荐
所有评论(0)