CVE-2022-42975：Phoenix框架check_origin通配符处理漏洞

漏洞概述

Phoenix框架在1.6.14之前的版本中，socket/transport.ex文件对check_origin通配符的处理存在缺陷。该漏洞被评定为高危级别，CVSS评分为7.5分。

受影响版本

• 受影响版本：Phoenix < 1.6.14
• 已修复版本：Phoenix 1.6.14

技术细节

该漏洞涉及源验证错误（CWE-346）和不正确的授权检查（CWE-863）。攻击者可以利用此漏洞绕过预期的访问限制。

漏洞特征

• 攻击向量：网络
• 攻击复杂度：低
• 所需权限：无
• 用户交互：无
• 影响范围：未改变
• 机密性影响：无
• 完整性影响：高
• 可用性影响：无

特别说明

需要注意的是，基于LiveView的应用程序在默认情况下不受此漏洞影响，因为存在LiveView CSRF令牌的保护机制。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2022-42975
• phoenixframework/phoenix@6e7185b
• https://hexdocs.pm/phoenix/1.6.14/changelog.html#1-6-14-2022-10-10

安全建议

建议使用Phoenix框架的开发人员立即升级到1.6.14或更高版本，以确保应用程序的安全性。