Phoenix框架安全漏洞分析:CVE-2022-42975的check_origin通配符处理问题

本文分析了Phoenix框架在1.6.14之前版本中存在的一个高严重性安全漏洞(CVE-2022-42975)。该漏洞源于`socket/transport.ex`模块对`check_origin`通配符配置的处理不当,可能导致授权绕过,CVSS评分为7.5分。

漏洞概述

CVE-2022-42975 是一个影响Phoenix框架的高严重性安全漏洞。该漏洞存在于Phoenix 1.6.14之前的版本中,具体问题位于socket/transport.ex文件内对check_origin配置项的通配符处理逻辑。

影响范围

  • 受影响的版本:所有早于 1.6.14 的Phoenix版本。
  • 已修复的版本:1.6.14 及更高版本。
  • 注意:基于LiveView构建的应用程序在默认配置下不受此漏洞影响,因为它们使用了LiveView CSRF令牌进行保护。

漏洞详情

漏洞的核心是源验证错误(CWE-346)和不正确的授权(CWE-863)。攻击者可以利用此漏洞绕过预期的来源检查机制。

技术影响

  • 攻击向量:网络(AV:N)
  • 攻击复杂度:低(AC:L)
  • 所需权限:无(PR:N)
  • 用户交互:无(UI:N)
  • 影响范围:未改变(S:U)
  • 机密性影响:无(C:N)
  • 完整性影响:高(I:H)
  • 可用性影响:无(A:N)

综合CVSS v3.1评分为 7.5(高危)

修复与参考

该漏洞已在Phoenix 1.6.14版本中通过提交 6e7185b 修复。

  • 官方参考:美国国家漏洞数据库(NVD)详情页
  • 变更日志:Phoenix 1.6.14 官方变更说明
  • GitHub安全公告ID:GHSA-p8f7-22gq-m7j9

补充信息

  • EPSS评分:0.194%(未来30天内被利用的概率预估,处于第42百分位)。
  • 致谢:该漏洞由安全研究员 maennchen 发现并报告。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次