CVE-2014-125071

lukehutch Gribbit HttpRequestHandler.java messageReceived missing origin validation in websockets

CVSS 5.5 MEDIUMEPSS 0.4%CWE-1385

En resumen

El framework Gribbit no valida el origen de las conexiones WebSocket, permitiendo que sitios no autorizados se comuniquen con la aplicación. Esto puede habilitar ataques entre sitios donde páginas maliciosas engañan a usuarios para enviar o recibir datos de la aplicación vulnerable.

Detalle técnico

La función messageReceived en HttpRequestHandler.java no realiza validación de origen en los mensajes WebSocket recibidos, creando una vulnerabilidad de secuestro de WebSocket entre sitios (CSWSH). Un atacante puede crear una página maliciosa que establece una conexión WebSocket con el servidor vulnerable, eludiendo potencialmente las protecciones de mismo origen y accediendo o manipulando datos si el usuario visita el sitio del atacante mientras está autenticado.

Resumen generado y traducido por IA a partir de la descripción oficial.

A vulnerability was found in lukehutch Gribbit. It has been classified as problematic. Affected is the function messageReceived of the file src/gribbit/request/HttpRequestHandler.java. The manipulation leads to missing origin validation in websockets. The name of the patch is 620418df247aebda3dd4be1dda10fe229ea505dd. It is recommended to apply a patch to fix this issue. The identifier of this vulnerability is VDB-217716.

CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Productos afectados

lukehutch · Gribbit

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/lukehutch/gribbit/commit/620418df247aebda3dd4be1dda10fe229ea505dd https://vuldb.com/?ctiid.217716 https://vuldb.com/?id.217716