CVE-2014-125071

lukehutch Gribbit HttpRequestHandler.java messageReceived missing origin validation in websockets

CVSS 5.5 MEDIUMEPSS 0.4%CWE-1385

Em resumo

O framework Gribbit não valida a origem das conexões WebSocket, permitindo que sites não autorizados se comuniquem com a aplicação. Isso pode habilitar ataques entre sites onde páginas maliciosas enganam usuários para enviar ou receber dados da aplicação vulnerável.

Detalhe técnico

A função messageReceived em HttpRequestHandler.java não realiza validação de origem nas mensagens WebSocket recebidas, criando uma vulnerabilidade de sequestro de WebSocket entre sites (CSWSH). Um atacante pode criar uma página maliciosa que estabelece uma conexão WebSocket com o servidor vulnerável, contornando potencialmente proteções de mesma origem e acessando ou manipulando dados se o usuário visitar o site do atacante enquanto autenticado.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A vulnerability was found in lukehutch Gribbit. It has been classified as problematic. Affected is the function messageReceived of the file src/gribbit/request/HttpRequestHandler.java. The manipulation leads to missing origin validation in websockets. The name of the patch is 620418df247aebda3dd4be1dda10fe229ea505dd. It is recommended to apply a patch to fix this issue. The identifier of this vulnerability is VDB-217716.

CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Produtos afetados

lukehutch · Gribbit

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/lukehutch/gribbit/commit/620418df247aebda3dd4be1dda10fe229ea505dd https://vuldb.com/?ctiid.217716 https://vuldb.com/?id.217716