CVE-2025-24358 in csrfالمعلومات

الملخص

بحسب VulDB • 26/06/2026

يوفر مكتبة gorilla/csrf مكونًا وسيطًا (middleware) لمنع هجمات تزوير الطلبات عبر المواقع (CSRF) لتطبيقات الويب والخدمات المبنية بلغة Go. قبل الإصدار 1.7.2، لم تقم مكتبة gorilla/csrf بالتحقق من صحة رأس "Origin" مقابل قائمة مسموح بها (allowlist). كما أنها تنفذ التحقق من صحة رأس "Referer" للطلبات عبر النطاقات المختلفة فقط عندما تعتقد أن الطلب يتم تقديمه عبر بروتوكول TLS. وتحدد ذلك عن طريق فحص قيمة `r.URL.Scheme`. ومع ذلك، فإن هذه القيمة لا تُملأ أبدًا لطلبات "الخادم" (server requests) وفقًا لمواصفات لغة Go، وبالتالي لا يعمل هذا الفحص في الممارسة العملية. تتيح هذه الثغرة لهجوم قام باختراق XSS على نطاق فرعي أو النطاق الرئيسي تنفيذ إرسال نماذج موثقة ضد الأهداف المحمية بواسطة gorilla/csrf التي تشترك في نفس النطاق الرئيسي. تم إصلاح هذه الثغرة في الإصدار 1.7.2.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

حجز

20/01/2025

إفشاء

15/04/2025

الاعتدال

تمت الموافقة

إدخال

VDB-304716

استغلال

تحميل

EPSS

0.00347

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!