Vulnerabilidad en gorilla/csrf (CVE-2025-24358)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

15/04/2025

Última modificación:

01/05/2025

Descripción

gorilla/csrf proporciona middleware para la prevención de Cross-Site Request Forgery (CSRF) en aplicaciones y servicios web de Go. Antes de la versión 1.7.2, gorilla/csrf no validaba el encabezado "Origin" con una lista de permitidos. Validaba el encabezado "Referer" para solicitudes de origen cruzado solo cuando creía que la solicitud se atendía mediante TLS. Esto se determina inspeccionando el valor de r.URL.Scheme. Sin embargo, este valor nunca se rellena para las solicitudes de "servidor" según la especificación de Go, por lo que esta comprobación no se ejecuta en la práctica. Esta vulnerabilidad permite a un atacante que ha obtenido XSS en un subdominio o dominio de nivel superior realizar envíos de formularios autenticados contra objetivos protegidos por gorilla/csrf que comparten el mismo dominio de nivel superior. Esta vulnerabilidad se corrigió en la versión 1.7.2.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:P CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Ninguno
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): POC

Puntuación base 4.0

5.40

Gravedad 4.0

MEDIA

Vulnerabilidad en gorilla/csrf (CVE-2025-24358)

Descripción

Impacto

Referencias a soluciones, herramientas e información