Phoenix 1.6.14之前版本中`check_origin`通配符处理不当漏洞分析

本文详细介绍了CVE-2022-42975漏洞,该漏洞影响Phoenix框架1.6.14之前版本,由于`socket/transport.ex`中`check_origin`功能的通配符处理不当,可能导致授权绕过。默认情况下,使用LiveView CSRF令牌的LiveView应用不受影响。

Phoenix before 1.6.14 mishandles check_origin wildcarding · CVE-2022-42975 · GitHub Advisory Database · GitHub

漏洞信息

CVE ID: CVE-2022-42975 GHSA ID: GHSA-p8f7-22gq-m7j9 严重程度: 高 (CVSS 评分 7.5) 影响包: erlang / phoenix (Erlang) 受影响版本: < 1.6.14 已修复版本: 1.6.14

漏洞描述

Phoenix 1.6.14之前版本中的 socket/transport.ex 文件对 check_origin 通配符的处理不当。

注意: 由于默认存在LiveView CSRF令牌,LiveView应用程序默认不受此漏洞影响。

技术详情

CVSS v3.1 基础指标

  • 攻击向量 (AV): 网络 (N)
  • 攻击复杂度 (AC): 低 (L)
  • 所需权限 (PR): 无 (N)
  • 用户交互 (UI): 无 (N)
  • 影响范围 (S): 未改变 (U)
  • 机密性影响 (C): 无 (N)
  • 完整性影响 (I): 高 (H)
  • 可用性影响 (A): 无 (N)

完整向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

弱点分类

  1. CWE-346: 来源验证错误 - 产品未能正确验证数据或通信来源的有效性。
  2. CWE-863: 授权不正确 - 当参与者尝试访问资源或执行操作时,产品执行授权检查,但未能正确执行该检查,这可能允许攻击者绕过预期的访问限制。

漏洞利用预测评分系统 (EPSS)

  • 分数: 0.194% (第42百分位)
  • 说明: 此分数估计了该漏洞在未来30天内被利用的概率。

参考信息

时间线

  • 国家漏洞数据库发布日期: 2022年10月17日
  • GitHub咨询数据库发布日期: 2022年10月17日
  • 审核日期: 2022年10月18日
  • 最后更新日期: 2025年5月12日

致谢

该漏洞由分析师 maennchen 报告。

注意: 某些或所有此咨询所涉及的生态系统不支持Dependabot警报。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次