Vulnerabilità: CVE-2020-5217

Nelle intestazioni Sicuro (rubygem secure_headers), una vulnerabilità di iniezione direttiva è presente nelle versioni precedenti 3.8.0, 5.1.0 e 6.2.0. Se l’input fornito dall’utente è stato passato in accodamento / override_content_security_policy_directives, una virgola potrebbe essere iniettato portando ad iniezione direttiva. Questo potrebbe essere utilizzato per esempio ignorare una direttiva script src. direttive duplicati vengono ignorati e il primo vince. Le direttive in secure_headers sono in ordine alfabetico in modo che più o meno tutti vengono prima script src. Una direttiva in precedenza undefined riceverebbe un valore anche se SecureHeaders :: OPT_OUT è stato fornito. Le versioni fisse saranno silenziosamente convertire i punti e virgola per spazi ed emettere un avviso di disapprovazione quando questo accade. Questo si tradurrà in innocui messaggi della console del browser se correntemente sfruttata / accidentalmente utilizzate. In versioni future, alzeremo gli errori di applicazione conseguente 500s. A seconda di cosa versione principale che si sta utilizzando, le versioni fisse sono 6.2.0, 5.1.0, 3.8.0.


https://github.com/twitter/secure_headers/security/advisories/GHSA-xq52-rv6w-397c
https://github.com/twitter/secure_headers/commit/936a160e3e9659737a9f9eafce13eea36b5c9fa3
https://github.com/twitter/secure_headers/issues/418
https://github.com/twitter/secure_headers/pull/421
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5217


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi