漏洞信息详情
RubyGems omniauth-facebook 跨站请求伪造漏洞
- CNNVD编号:CNNVD-201311-216
- 危害等级: 中危
- CVE编号: CVE-2013-4562
- 漏洞类型: 跨站请求伪造
- 发布时间: 2013-11-21
- 威胁类型: 远程
- 更新时间: 2014-05-14
- 厂 商: madeofcode
- 漏洞来源: Egor Homakov
漏洞简介
omniauth-facebook是一套使用omniauth调用facebook OAuth2认证策略的应用。
omniauth-facebook gem 1.5.0之前的1.4.1版本中存在安全漏洞,该漏洞源于程序没有正确存储‘session’参数。远程攻击者可借助‘state’参数利用该漏洞实施跨站请求伪造攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://github.com/mkdynamic/omniauth-facebook/commit/ccfcc26fe7e34acbd75ad4a095fd01ce5ff48ee7
参考网址
来源:github.com
链接:https://github.com/mkdynamic/omniauth-facebook/commit/ccfcc26fe7e34acbd75ad4a095fd01ce5ff48ee7
来源:MLIST
名称:[oss-security] 20131112 Re: Re: CVE request: rubygem omniauth-facebook CSRF vurnerability
链接:http://seclists.org/oss-sec/2013/q4/267
来源:MLIST
名称:[ruby-security-ann] 20131114 [CVE-2013-4562] RubyGem omniauth-facebook CSRF vulnerability
链接:https://groups.Google.com/d/msg/ruby-security-ann/-tJHNlTiPh4/9SJxdEWLIawJ
来源:osvdb.org
链接:http://osvdb.org/ref/99/omniauth-facebook_gem.txt
来源:MLIST
名称:[oss-security] 20131112 CVE request: rubygem omniauth-facebook CSRF vurnerability
链接:http://seclists.org/oss-sec/2013/q4/264
来源:OSVDB
名称:99693
链接:http://www.osvdb.org/99693
来源: BID
名称: 63697
链接:http://www.securityfocus.com/bid/63697
受影响实体
- Madeofcode Omniauth-Facebook:1.4.1:~~~Ruby~~
补丁
- omniauth-facebook-1.5.0
- omniauth-facebook-1.5.0
评论