CRITICAL🇬🇧 English

CVE-2021-47157

JSON hijacking w module Kossy dla Perl z powodu błędnej obsługi X-Requested-With

CVSS 9.8v3.1pub. 2024-03-18upd. 2026-04-15

Moduł Kossy przed wersją 0.60 dla języka Perl jest podatny na atak JSON hijacking wynikający z nieprawidłowej obsługi nagłówka X-Requested-With. Podatność otrzymała ocenę krytyczną CVSS 9.8, co oznacza wysokie ryzyko naruszenia poufności, integralności i dostępności danych.

Pokaż oryginał (EN)

The Kossy module before 0.60 for Perl allows JSON hijacking because of X-Requested-With mishandling.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-346 (Origin Validation Error) polega na tym, że moduł Kossy nie weryfikuje poprawnie nagłówka X-Requested-With w żądaniach HTTP. Brak tej weryfikacji umożliwia atakującemu wykonanie ataku JSON hijacking, w którym złośliwa strona internetowa może przechwycić odpowiedzi JSON zwracane przez aplikację zbudowaną na module Kossy. Atak nie wymaga uwierzytelnienia ani interakcji ze strony użytkownika (zgodnie z wektorem CVSS: PR:N, UI:N).

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych danych zwracanych w odpowiedziach JSON (naruszenie poufności), a w zależności od architektury aplikacji może również wpływać na integralność i dostępność systemu.

Mitygacja

Należy zaktualizować moduł Kossy do wersji 0.60 lub nowszej. Szczegółowe informacje dostępne są w rejestrze zmian projektu na metacpan.org oraz w pull requeście #16 w repozytorium GitHub projektu Kossy.

Kogo dotyczy

Moduł Kossy dla Perl w wersjach wcześniejszych niż 0.60.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2021-47157 — JSON hijacking w module Kossy dla Perl z powodu błędnej obsługi X-Requested-With — CRITICAL 9.8 | CVEbaza.pl