Vulnerabilità: CVE-2020-26251

Aprire Zaak è una, dati- e open-source servizi a livello moderno per consentire zaakgericht werken, un approccio olandese per la gestione dei casi. In Open Zaak prima della versione 1.3.3 la politica Cross-Origin-condivisione delle risorse in Open Zaak è attualmente aperta – ogni cliente è permesso. Questo permette evil.com di eseguire script che eseguono le chiamate AJAX per noti installazioni Aperto Zaak, e il browser non bloccherà questi. Questo era destinato ad applicarsi solo alle macchine di sviluppo in esecuzione su localhost / 127.0.0.1. Aprire Zaak 1.3.3 disabilita CORS per impostazione predefinita, mentre può essere optato-in attraverso variabili d’ambiente. La vulnerabilità in realtà non sembra sfruttabile in quanto: a) Il cookie di sessione ha un Same-Site `: politica Lax` che gli impedisce di essere inviato insieme a richieste di Cross-Origin. b) Tutte le pagine che danno accesso a () i dati di produzione sono protette da login c) `Access-Control-Allow-credentials` è impostata a` false` d) i controlli CSRF probabilmente bloccare l’origine remota, dal momento che non sono aggiunti in modo esplicito al allowlist di fiducia.


https://github.com/open-zaak/open-zaak/security/advisories/GHSA-chhr-gxrg-64×7
https://github.com/open-zaak/open-zaak/security/advisories/GHSA-chhr-gxrg-64×7
https://github.com/open-zaak/open-zaak/blob/master/CHANGELOG.rst#133-2020-12-17
https://github.com/open-zaak/open-zaak/blob/master/CHANGELOG.rst#133-2020-12-17
https://github.com/open-zaak/open-zaak/commit/952269269f1b629fce9c94485f83ac13f31d6c46
https://github.com/open-zaak/open-zaak/commit/952269269f1b629fce9c94485f83ac13f31d6c46
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26251


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi