Phoenix框架1.6.14之前版本存在check_origin通配符处理漏洞

本文详细分析了Phoenix框架在1.6.14之前版本中存在的check_origin通配符处理安全问题,该漏洞可能被攻击者利用进行跨站请求伪造攻击,但默认配置下的LiveView应用不受影响。

CVE-2022-42975:Phoenix框架check_origin通配符处理漏洞分析

漏洞概述

Phoenix框架在1.6.14之前版本中存在check_origin配置的通配符处理问题,该漏洞被评定为高危级别,CVSS评分为7.5分。

受影响版本

  • 受影响版本:Phoenix < 1.6.14
  • 已修复版本:Phoenix 1.6.14

技术细节

根据漏洞描述,问题存在于socket/transport.ex文件中,具体涉及check_origin通配符的处理机制。值得注意的是,默认配置下的LiveView应用不受此漏洞影响,因为LiveView CSRF令牌的存在提供了额外的安全保护。

漏洞影响

  • 攻击向量:网络
  • 攻击复杂度:低
  • 所需权限:无
  • 用户交互:无
  • 影响范围:未改变
  • 机密性影响:无
  • 完整性影响:高
  • 可用性影响:无

相关资源

  • 国家漏洞数据库:https://nvd.nist.gov/vuln/detail/CVE-2022-42975
  • 修复提交:phoenixframework/phoenix@6e7185b
  • 官方变更日志:https://hexdocs.pm/phoenix/1.6.14/changelog.html#1-6-14-2022-10-10

安全弱点分类

  • CWE-346:源验证错误
  • CWE-863:授权检查不正确

漏洞标识

  • CVE ID:CVE-2022-42975
  • GHSA ID:GHSA-p8f7-22gq-m7j9

该漏洞由安全研究员maennchen发现并报告,建议使用受影响版本的用户尽快升级到1.6.14或更高版本。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次