Phoenix 1.6.14之前版本存在check_origin通配符处理漏洞
漏洞概述
Phoenix框架在1.6.14之前的版本中,socket/transport.ex文件对check_origin通配符的处理存在缺陷。该漏洞被评定为高危级别,CVSS评分为7.5分。
受影响版本
- 受影响版本:< 1.6.14
- 已修复版本:1.6.14
技术细节
漏洞性质
该漏洞属于源验证错误(CWE-346)和不正确授权(CWE-863)类型的安全缺陷。攻击者可以在无需任何权限和用户交互的情况下,通过网络发起攻击,导致数据完整性受到严重威胁。
影响范围
需要注意的是,基于LiveView的应用程序在默认情况下不受此漏洞影响,因为LiveView CSRF令牌的存在提供了额外的安全保护。
修复方案
建议所有使用Phoenix框架的开发人员立即升级到1.6.14或更高版本,以修复此安全漏洞。
参考链接
安全评分
- CVSS v3.1评分:7.5(高危)
- EPSS评分:0.194%( exploitation probability)
攻击向量:网络 攻击复杂度:低 所需权限:无 用户交互:无 影响范围:未改变 机密性影响:无 完整性影响:高 可用性影响:无