Vulnerabilidad en Go-zero (CVE-2024-27302)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/03/2024
Última modificación:
03/12/2025
Descripción
go-zero es un framework web y rpc. Go-zero permite al usuario especificar un filtro CORS con un parámetro de permisos configurable, que es una serie de dominios permitidos en la política CORS. Sin embargo, `isOriginAllowed` usa `strings.HasSuffix` para verificar el origen, lo que lleva a pasar por alto un dominio malicioso. Esta vulnerabilidad es capaz de romper la política CORS y así permitir que cualquier página realice solicitudes y/o recupere datos en nombre de otros usuarios. La versión 1.4.4 soluciona este problema.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:go-zero:go-zero:*:*:*:*:*:*:*:* | 1.4.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/zeromicro/go-zero/commit/d9d79e930dff6218a873f4f02115df61c38b15db
- https://github.com/zeromicro/go-zero/security/advisories/GHSA-fgxv-gw55-r5fq
- https://github.com/zeromicro/go-zero/commit/d9d79e930dff6218a873f4f02115df61c38b15db
- https://github.com/zeromicro/go-zero/security/advisories/GHSA-fgxv-gw55-r5fq