Vulnerabilidad en nosurf (CVE-2025-46721)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
13/05/2025
Última modificación:
23/06/2025
Descripción
nosurf es un middleware de protección contra cross-site request forgery (CSRF) para Go. Una vulnerabilidad en versiones anteriores a la 1.2.0 permite a un atacante que controla el contenido del sitio web objetivo o de un subdominio del mismo (ya sea mediante XSS o de otro modo) eludir las comprobaciones CSRF y emitir solicitudes en nombre del usuario. Debido al uso indebido de la librería `net/http` de Go, nosurf categoriza todas las solicitudes entrantes como solicitudes HTTP de texto plano, en cuyo caso no se comprueba que el encabezado `Referer` tenga el mismo origen que la página web objetivo. Si el atacante controla el contenido HTML del sitio web objetivo (p. ej., `example.com`) o de un sitio web alojado en un subdominio del sitio objetivo (p. ej., `attacker.example.com`), también podrá manipular las cookies configuradas para el sitio web objetivo. Al obtener el token CSRF secreto de la cookie o sobrescribirla con un nuevo token conocido por el atacante, `attacker.example.com` puede generar solicitudes entre sitios a `example.com`. Se publicó una corrección para este problema en nosurf 1.2.0. En lugar de actualizar a una versión parcheada de nosurf, los usuarios pueden usar otro middleware HTTP para garantizar que una solicitud HTTP no segura provenga del mismo origen (por ejemplo, al requerir un encabezado `Sec-Fetch-Site: same-origin` en la solicitud).
Impacto
Puntuación base 4.0
6.00
Gravedad 4.0
MEDIA
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:nosurf_project:nosurf:*:*:*:*:*:go:*:* | 1.2.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/advisories/GHSA-rq77-p4h8-4crw
- https://github.com/justinas/nosurf-cve-2025-46721
- https://github.com/justinas/nosurf/commit/ec9bb776d8e5ba9e906b6eb70428f4e7b009feee
- https://github.com/justinas/nosurf/releases/tag/v1.2.0
- https://github.com/justinas/nosurf/security/advisories/GHSA-w9hf-35q4-vcjw
- https://github.com/advisories/GHSA-rq77-p4h8-4crw