CVE-2025-24358 in csrf
الملخص
بحسب VulDB • 26/06/2026
يوفر مكتبة gorilla/csrf مكونًا وسيطًا (middleware) لمنع هجمات تزوير الطلبات عبر المواقع (CSRF) لتطبيقات الويب والخدمات المبنية بلغة Go. قبل الإصدار 1.7.2، لم تقم مكتبة gorilla/csrf بالتحقق من صحة رأس "Origin" مقابل قائمة مسموح بها (allowlist). كما أنها تنفذ التحقق من صحة رأس "Referer" للطلبات عبر النطاقات المختلفة فقط عندما تعتقد أن الطلب يتم تقديمه عبر بروتوكول TLS. وتحدد ذلك عن طريق فحص قيمة `r.URL.Scheme`. ومع ذلك، فإن هذه القيمة لا تُملأ أبدًا لطلبات "الخادم" (server requests) وفقًا لمواصفات لغة Go، وبالتالي لا يعمل هذا الفحص في الممارسة العملية. تتيح هذه الثغرة لهجوم قام باختراق XSS على نطاق فرعي أو النطاق الرئيسي تنفيذ إرسال نماذج موثقة ضد الأهداف المحمية بواسطة gorilla/csrf التي تشترك في نفس النطاق الرئيسي. تم إصلاح هذه الثغرة في الإصدار 1.7.2.
If you want to get best quality of vulnerability data, you may have to visit VulDB.