可以使用精心设计的 Content-Type 标头绕过 Hono CSRF 中间件 (CVE-2024-43787)
CVE编号
CVE-2024-43787利用情况
暂无补丁情况
N/A披露时间
2024-08-22漏洞描述
Hono是一个Web应用程序框架,支持任何JavaScript运行时环境。Hono的CSRF中间件可以通过定制的Content-Type头绕过。MIME类型是不区分大小写的,但isRequestedByFormElementRe仅匹配小写。因此,攻击者可以使用大写表单样式的MIME类型绕过CSRF中间件。此漏洞已在4.5.8版本中修复。解决建议
"将组件 hono 升级至 4.5.8 及以上版本"- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论