Session 注入
日期
2013 年 8 月 6 日
說明
在 Play 的 session 編碼中發現一個漏洞。
攻擊者可透過誘騙 Play 將包含空位元組的特殊製作值放入 Play session 中,將任意資料注入 session。
影響
任何將使用者輸入資料放入 Play 無狀態 session 機制的應用程式都可能受到影響。
通常,這會影響將使用者名稱儲存在 session 中以進行驗證的應用程式,並允許攻擊者將自己識別為其他使用者。
受影響版本
- Play 2.1.0 - 2.1.2
- Play 2.0 - 2.0.5
- Play 1.2 - 1.2.5
- Play 1.1 - 1.1.2
- Play 1.0 - 1.0.3.3
解決方法
驗證放入 session 的值不包含空位元組。
修正
升級到以下適當版本
CVSS 指標 (更多資訊)
- 基礎:6.4
AV:N/AC:L/Au:N/C:P/I:P/A:N - 時間性:5.6
E:H/RL:OF/RC:C - 環境:6.8
CDP:ND/TD:H/CR:H/IR:H/AR:ND
環境分數假設為一般網路系統。貴組織的實際環境分數可能有所不同。
致謝
發現此漏洞的功勞歸於澳洲國民銀行安全保證團隊。