oauth CSRF 漏洞(CVE-2024-42476)
CVE编号
CVE-2024-42476利用情况
暂无补丁情况
N/A披露时间
2024-08-16漏洞描述
在Nim的OAuth库版本低于0.11之前,授权码授权和隐式授权都依赖于`state`参数来防止跨站请求伪造(CSRF)攻击,攻击者可能会将资源所有者的会话与属于攻击者的受保护资源相关联。当此项目使用某些编译器标志编译时,可能根本不会对`state`参数进行检查,从而存在CSRF漏洞。版本0.11使用普通的`if`语句或`doAssert`来检查`state`参数,而不是依赖于普通的断言。即使设置了`-d:danger`或`--assertions:off`标志,`doAssert`也能实现期望的行为。这意味着,如果未正确验证`state`参数,可能会导致CSRF漏洞的存在。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论