聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

PHP 应用程序的热门HTTP客户端 Guzzle 的维护人员，修复了一个可导致跨域cookie 泄露的高危漏洞 (CVE-2022-29248)。

开源的内容管理系统 Drupal 是使用该第三方库的应用程序之一，目前已发布软件更新解决了这个问题。该漏洞位于Guzzle 的 cookie 中间件中，默认禁用。Guzzle 的一名维护人员在所发布的 GitHub 安全公告中指出，“因此大多数库用户不受该漏洞影响”。

01

Cookie 崩溃

该漏洞的编号为CVE-2022-29248，是因为对 cookie域是否和服务器的域一样的检查失败而引发，可导致‘’恶意服务器为不相关的域名设置 cookie”，“例如，www.example.com 的攻击者可能会为 api.example.net 设置会话 cookie，将Guzzle 客户端登录到账户并从账户的安全日志中检索私密API请求”。

Guzzle 用于向多种用例从PHP程序发送HTTP请求。

这个PSR-7兼容库在GitHub 上接近2.2万个star，同时由 Adobe 的电商平台 Magento以及流行的PHP web 应用框架 Laravel 使用。

然而，只有“手动将 cookie 中间件添加到句柄栈或者用 ['cookies' => true] 构建客户端的用户才受影响”。用户还必须使用同样的 Guzzle 客户端来调用多个域名并在启用重定向转发的情况下才易受攻击。

Guzzle 维护人员在版本 6.5.6、7.4.3 和 7.5.0 中修复了该漏洞，并建议用户确保禁用了中间件，要求cookie 支持的情况除外。

02

Drupal 更新

Drupal 发布安全公告称，该 Guzzle 漏洞“并不影响 Drupal 内核，但可能影响 Drupal 站点上的某些贡献项目或自定义代码”。该漏洞已在 Drupal 版本 9.3.14和9.2.20中修复，此前的 Drupal 9 版本不再受支持。Drupal 7 不受影响。

Drupal 将该漏洞评级为“中危”级别，按照自己的评分标准给出了13分（总分25分）。

---

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

---

推荐阅读

第三方XML解析器Expat有多个严重漏洞，IBM、Linux等纷纷打补丁

Okta 结束Lapsus$ 供应链事件调查，称将加强第三方管控

亚马逊RDS使用的第三方扩展有漏洞，可导致内部凭据遭泄露

Okta CEO 改口证实第三方账户受陷且影响客户，LAPSUS$扬言发动供应链攻击

西门子修复因使用第三方组件引起的90多个漏洞

原文链接

https://portswigger.net/daily-swig/patch-released-for-cross-domain-cookie-leakage-flaw-in-guzzle

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~