Vulnerabilidad en Fastify (CVE-2024-31999)

@festify/secure-session crea una sesión segura de cookies sin estado para Fastify. Al final del manejo de la solicitud, cifrará todos los datos de la sesión con una clave secreta y adjuntará el texto cifrado como un valor de cookie con el nombre de cookie definido. Después de eso, la sesión en el lado del servidor se destruye. Cuando se proporciona una cookie cifrada con un nombre de sesión coincidente en solicitudes posteriores, descifrará el texto cifrado para obtener los datos. Luego, el complemento crea una nueva sesión con los datos en el texto cifrado. Por lo tanto, en teoría, la instancia web todavía accede a los datos desde una sesión del lado del servidor, pero técnicamente esa sesión se genera únicamente a partir de una cookie proporcionada por el usuario (que se supone que no se puede crear porque está cifrado con una clave secreta que el usuario desconoce). El problema existe en el proceso de eliminación de la sesión. En la función de eliminación del código, cuando se elimina la sesión, se marca para su eliminación. Sin embargo, si un atacante pudiera obtener acceso a la cookie, podría seguir usándola para siempre. La versión 7.3.0 contiene un parche para el problema. Como workaround, se puede incluir un campo de "última actualización" en la sesión y tratar las "sesiones antiguas" como vencidas.