ApiGatewayFormatV2 不支持 Bref 多值标头 (CVE-2024-24753)
CVE编号
CVE-2024-24753利用情况
暂无补丁情况
N/A披露时间
2024-02-02漏洞描述
Bref enable serverless PHP on AWS Lambda. 当Bref与v2格式的API Gateway结合使用时,无法处理多个headers的情况。如果PHP生成的响应包含两个具有相同键但不同值的headers,只会保留最新的一个。如果应用程序依赖于设置具有相同键的多个headers来实现安全性,那么Bref将降低应用程序的安全性。例如,如果应用程序设置了多个`Content-Security-Policy` headers,Bref将只反映最新的一个。该漏洞已在2.1.13中修复。解决建议
"将 bref/bref 升级至 2.1.13 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/brefphp/bref/commit/f834027aaf88b3885f4aa8edf6944ae920daf2dc | |
| https://github.com/brefphp/bref/security/advisories/GHSA-99f9-gv72-fw9r |
- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-436 | 解释冲突 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论