| 漏洞类型 | 过度许可的跨域白名单 | 发现时间 | 2024-02-22 | 漏洞等级 | 严重 |
| MPS编号 | MPS-qoe4-atu2 | CVE编号 | CVE-2024-25124 | 漏洞影响广度 | 广 |
漏洞危害
| OSCS 描述 |
| Gofiber 是一个基于Go语言的轻量级web框架。 受影响版本中,Web应用中的CORS中间件允许不安全的配置(例如:同时设置Access-Control-Allow-Origin 通配符`*`并且Access-Control-Allow-Credentials为true),攻击者可以利用这种不安全的配置,通过构造特定的跨源请求窃取其他用户的用户凭证(如cookies、HTTP认证信息等)。 浏览器提供的 fetch API 以及强制执行 CORS 策略的浏览器和实用程序不受此漏洞影响。 参考链接:https://www.oscs1024.com/hd/MPS-qoe4-atu2 |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| github.com/gofiber/fiber/v2 (-∞, 2.52.1) | 升级 | 将组件 github.com/gofiber/fiber/v2 升级至 2.52.1 及以上版本 |
| github.com/gofiber/fiber/v2/middleware/cors (-∞, 2.52.1) | 升级 | 将组件 github.com/gofiber/fiber/v2/middleware/cors 升级至 2.52.1 及以上版本 |
| 参考链接:https://www.oscs1024.com/hd/MPS-qoe4-atu2 | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-qoe4-atu2
https://nvd.nist.gov/vuln/detail/CVE-2024-25124
https://github.com/gofiber/fiber/commit/f0cd3b44b086544a37886232d0530601f2406c23
https://github.com/gofiber/fiber/security/advisories/GHSA-fmg4-x8pw-hjhg
