Moduł Kossy przed wersją 0.60 dla języka Perl jest podatny na atak JSON hijacking wynikający z nieprawidłowej obsługi nagłówka X-Requested-With. Podatność otrzymała ocenę krytyczną CVSS 9.8, co oznacza wysokie ryzyko naruszenia poufności, integralności i dostępności danych.
▸ Pokaż oryginał (EN)
The Kossy module before 0.60 for Perl allows JSON hijacking because of X-Requested-With mishandling.
Podatność sklasyfikowana jako CWE-346 (Origin Validation Error) polega na tym, że moduł Kossy nie weryfikuje poprawnie nagłówka X-Requested-With w żądaniach HTTP. Brak tej weryfikacji umożliwia atakującemu wykonanie ataku JSON hijacking, w którym złośliwa strona internetowa może przechwycić odpowiedzi JSON zwracane przez aplikację zbudowaną na module Kossy. Atak nie wymaga uwierzytelnienia ani interakcji ze strony użytkownika (zgodnie z wektorem CVSS: PR:N, UI:N).
Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych danych zwracanych w odpowiedziach JSON (naruszenie poufności), a w zależności od architektury aplikacji może również wpływać na integralność i dostępność systemu.
Należy zaktualizować moduł Kossy do wersji 0.60 lub nowszej. Szczegółowe informacje dostępne są w rejestrze zmian projektu na metacpan.org oraz w pull requeście #16 w repozytorium GitHub projektu Kossy.
Moduł Kossy dla Perl w wersjach wcześniejszych niż 0.60.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H