One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8352232 |
| Date de publication | 2023-07-04 17:15:10 (vue: 2023-07-04 19:07:04) |
| Titre | CVE-2023-31999 |
| Texte | Toutes les versions de @ Fastify / OAuth2 ont utilisé un paramètre d'état généré statiquement au moment du démarrage et ont été utilisés dans toutes les demandes pour tous les utilisateurs.Le paramètre d'état OAuth2 est d'empêcher les attaques de la chirurgie inter-sites.En tant que tel, il doit être unique par utilisateur et doit être connecté à la session de l'utilisateur \\ d'une manière ou d'une autre qui permettra au serveur de le valider.
V7.2.0 Modifie le comportement par défaut pour stocker l'état dans un cookie avec l'ensemble des attributs HTTP uniquement et de même site = lax.L'état est maintenant généré par défaut pour chaque utilisateur.Notez que cela contient un changement de rupture dans la fonction de contrôle de contrôle, qui accepte désormais l'objet de demande complet.
All versions of @fastify/oauth2 used a statically generated state parameter at startup time and were used across all requests for all users. The purpose of the Oauth2 state parameter is to prevent Cross-Site-Request-Forgery attacks. As such, it should be unique per user and should be connected to the user\'s session in some way that will allow the server to validate it. v7.2.0 changes the default behavior to store the state in a cookie with the http-only and same-site=lax attributes set. The state is now by default generated for every user. Note that this contains a breaking change in the checkStateFunction function, which now accepts the full Request object. |
| Envoyé | Oui |
| Condensat | 2023 31999 @fastify/oauth2 accepts across all allow attacks attributes behavior breaking change changes checkstatefunction connected contains cookie cross cve default every forgery full function generated http note now oauth2 object only parameter per prevent purpose request requests same server session set should site site=lax some startup state statically store such time unique used user users validate versions way which will |
| Tags | |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.