一、 漏洞 CVE-2024-11023 基础信息
漏洞标题
Firebase JavaScript SDK存在会话劫持漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Firebase JavaScript SDK 使用一个名为 "FIREBASE_DEFAULTS" 的 cookie 来存储配置数据,其中包括用于会话同步的 "_authTokenSyncURL" 字段。 如果攻击者通过其他方法预先设置了此 cookie 字段,攻击者可以操控 "_authTokenSyncURL" 指向他们自己的服务器,从而使得攻击者能够捕获由 SDK 传输的用户会话数据。我们建议将 Firebase JS SDK 至少升级到 10.9.0 版本。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
信息暴露
来源:AIGC 神龙大模型
漏洞标题
Session Hijacking in Firebase JavaScript SDK
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Firebase JavaScript SDK utilizes a "FIREBASE_DEFAULTS" cookie to store configuration data, including an "_authTokenSyncURL" field used for session synchronization. If this cookie field is preset via an attacker by any other method, the attacker can manipulate the "_authTokenSyncURL" to point to their own server and it would allow an actor to capture user session data transmitted by the SDK. We recommend upgrading Firebase JS SDK at least to 10.9.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Google Firebase Js Sdk 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Google Firebase Js Sdk是美国谷歌(Google)公司的一个用于连接Firebase后端服务的客户端代码库。 Google Firebase Js Sdk存在安全漏洞,该漏洞源于使用名为FIREBASE_DEFAULTS的cookie来存储配置数据,从而允许攻击者捕获由SDK传输的用户会话数据。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-11023 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-11023 的情报信息