Guzzle 是流行的PHP应用程序 HTTP 客户端,其维护者已经解决了一个导致跨域 cookie 泄漏的严重漏洞。
开源内容管理系统(CMS)Drupal是使用第三方库的应用程序之一,并已发布解决该问题的软件更新。
该漏洞存在于Guzzle的cookie中间件中,该中间件默认禁用,“因此大多数图书馆消费者不会受到此问题的影响”,Guzzle维护者周三(5月25日)发布的GitHub安全公告中写道。
跟踪为CVE-2022-29248,该错误集中在无法检查cookie域是否等于通过Set-Cookie标头设置cookie的服务器的域。这将允许“恶意服务器为不相关的域设置cookie”,继续公告。
“例如,www.example.com上的攻击者可能会为api.example.net设置会话cookie,将Guzzle客户端登录到他们的账户,并从他们账户的安全日志中检索私有API请求。”
Guzzle用于从PHP程序为各种用例发送HTTP请求。
PSR-7兼容库在GitHub上已接近22,000颗星,Adobe的电子商务平台Magento以及其他应用程序以及流行的PHP Web应用程序框架Laravel也使用该库。
但是,只有“手动将cookie中间件添加到处理程序堆栈或使用['cookies' => true]构建客户端”的用户会受到影响,解释说。他们还必须使用相同的Guzzle客户端来调用多个域并启用重定向转发以使其易受攻击。
Guzzle维护人员已修复版本6.5.6、7.4.3和7.5.0中的漏洞,并建议用户确保禁用cookie中间件,除非需要cookie支持。
在与Guzzle对应的同一天发布的安全公告中,Drupal表示Guzzle漏洞“不会影响Drupal核心,但可能会影响Drupal站点上的一些贡献项目或自定义代码”。
该问题已在Drupal版本9.3.14和9.2.20中修复,不再支持以前的Drupal 9版本。Drupal 7不受该缺陷的影响。
Drupal根据自己的严重程度将该错误归类为“中度严重”,在25分中给出13分。
评论已关闭。