2025-1105: gorilla/csrf: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2025-05-05 16:30)

Neues Advisory

Betroffene Software

Middleware
Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer, der bereits Cross-Site-Scripting (XSS) auf einer Subdomäne oder der gleichen Hauptdomäne durchführen kann, kann eine Schwachstelle aus der Ferne ausnutzen, um Sicherheitsvorkehrungen gegen Cross-Site-Request-Forgery (CSRF)-Angriffe zu umgehen. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Die Schwachstelle erfordert die Interaktion eines Benutzers.

Für Debian 11 Bullseye (LTS) steht ein Sicherheitsupdate für 'golang-github-gorilla-csrf' in Version 1.6.2-2+deb11u1 bereit, um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2025-24358

Schwachstelle in gorilla/csrf ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.