通过归零中的用户控制密钥绕过授权 (CVE-2024-27302)
CVE编号
CVE-2024-27302利用情况
暂无补丁情况
N/A披露时间
2024-03-07漏洞描述
Go-zero是一个web和rpc框架。Go-zero允许用户指定一个可配置的允许参数的CORS过滤器,该参数是CORS策略中允许的域名称数组。然而,`isOriginAllowed`使用`strings.HasSuffix`来检查来源,这导致通过恶意域绕过。该漏洞能够突破CORS策略,从而允许任何页面请求和/或检索其他用户的数据。版本1.4.4修复了这个问题。解决建议
"将组件 github.com/zeromicro/go-zero 升级至 1.4.4 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/zeromicro/go-zero/commit/d9d79e930dff6218a873f4f02115df61c38b15db | |
| https://github.com/zeromicro/go-zero/security/advisories/GHSA-fgxv-gw55-r5fq |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论