漏洞标题
N/A
漏洞描述信息
Vert.x-Web框架v4.0里程碑1-4 不进行正确的 CSRF 验证。它 instead 将请求中的 CSRF 令牌与 cookie 中的 CSRF 令牌进行比较,将 cookie 中的 CSRF 令牌与存储在会话中的 CSRF 令牌进行比较。攻击者甚至不需要在请求中提供 CSRF 令牌,因为框架不会考虑它。浏览器会自动发送 cookies,验证将 always 成功,导致成功的 CSRF 攻击。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Vert.x-Web framework v4.0 milestone 1-4 does not perform a correct CSRF verification. Instead of comparing the CSRF token in the request with the CSRF token in the cookie, it compares the CSRF token in the cookie against a CSRF token that is stored in the session. An attacker does not even need to provide a CSRF token in the request because the framework does not consider it. The cookies are automatically sent by the browser and the verification will always succeed, leading to a successful CSRF attack.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Eclipse Vertx-web 跨站请求伪造漏洞
漏洞描述信息
Eclipse Vertx-web是Eclipse基金会的一个用于构建Web应用的框架。 Vert.x-Web framework v4.0 milestone 1-4 存在跨站请求伪造漏洞,该漏洞源程序没有执行正确的CSRF验证。它不是比较请求中的CSRF令牌与cookie中的CSRF令牌,而是比较cookie中的CSRF令牌与存储在会话中的CSRF令牌。攻击者可利用该漏洞甚至不需要在请求中提供CSRF令牌,导致CSRF攻击成功。
CVSS信息
N/A
漏洞类别
跨站请求伪造