Phoenix 1.6.14 之前版本存在 check_origin 通配符处理安全漏洞
CVE-2022-42975: Phoenix 框架 check_origin 通配符处理漏洞
漏洞概述
Phoenix 框架在 1.6.14 版本之前,其 socket/transport.ex 模块在处理 check_origin 配置的通配符时存在缺陷。该漏洞被评定为 高危(CVSS 评分 7.5)。
受影响版本
- 所有低于 1.6.14 的 Phoenix 版本。
已修复版本
- Phoenix 1.6.14 及更高版本。
技术详情
该漏洞属于 源验证错误(CWE-346)和 不正确的授权(CWE-863)。攻击者可以利用此缺陷,绕过预期的来源检查机制。具体而言,当配置中使用通配符(例如 *.example.com)来指定允许的来源时,Phoenix 的验证逻辑可能无法正确匹配,从而导致潜在的跨站 WebSocket 劫持(Cross-Site WebSocket Hijacking)风险。
重要说明
默认情况下,使用了 LiveView CSRF 令牌的 Phoenix LiveView 应用程序不受此漏洞影响,因为该令牌提供了额外的保护层。
修复与参考
- 官方修复提交: phoenixframework/phoenix@6e7185b
- 详细变更日志: https://hexdocs.pm/phoenix/1.6.14/changelog.html#1-6-14-2022-10-10
- 国家漏洞数据库(NVD)详情: https://nvd.nist.gov/vuln/detail/CVE-2022-42975
安全建议
所有使用 Phoenix 框架且版本低于 1.6.14 的用户,应尽快升级到 1.6.14 或更高版本,以修复此安全漏洞。
glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxcPqSGRCJWgo0BgAhjWpzjYFmge5+qKmucuh1Dprpf4CA==
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号