FixVibe
Covered by FixVibehigh

rehegua CORS Ñemboheko vai: Riesgo umi Política Permisivaiterei rehegua

O rehegua ZXCVFIXVIBESEG2 rehegua Recurso Compartido Origen Kurusu (CORS) haꞌehína peteĩ mecanismo kundahára rehegua ojejapóva oñembopiroꞌe hag̃ua Política de Origen peteĩchagua (SOP). Oñeikotevẽramo jepe umi aplicación web ko’ag̃aguápe g̃uarã, implementación hekope’ỹva —ha’eháicha eco pe ojeruréva Origen iñakãrapu’ã térã omoĩ lista blanca origen ‘nulo’— ikatu oheja umi tenda vai oexfiltra hag̃ua puruhára privado marandu.

CWE-942

O rehegua ZXCVFIXVIBESEG3 rehegua

Impacto rehegua

O rehegua ZXCVFIXVIBESEG4 rehegua Peteĩ atacante ikatu omonda dato sensitivo, autenticado umi oiporúvagui peteĩ aplicación vulnerable [S2]. Peteĩ puruhára ohóramo peteĩ ñanduti renda vai oike aja pe app vulnerable-pe, pe tenda vai ikatu ojapo mba’ejerure origen kurusu pe app API-pe ha omoñe’ẽ umi ñembohovái [S1][S2]. Kóva ikatu ogueru marandu privado ñemonda, umíva apytépe puruhára perfil, CSRF token térã marandu privado [S2].

O rehegua ZXCVFIXVIBESEG5 rehegua

Hapo Causa rehegua

O rehegua ZXCVFIXVIBESEG6 rehegua CORS haꞌehína peteĩ mecanismo HTTP-pe iñakãrapuꞌa rehegua ohejáva umi servidor-pe ohechauka mbaꞌe ypykue (dominio, esquema térã puerto) ojehejáva okargávo recurso [S1]. Umi mbaꞌe vai ojehu jepi peteĩ servidor CORS política iflexibleiterei térã oñemboguata vai jave [S2]:

O rehegua ZXCVFIXVIBESEG7 rehegua

  • Origen ojehechaukavaꞌekue iñakãrapuꞌa: Oĩ servidor omoñeꞌeva Origin iñakãrapuꞌa peteĩ cliente mbaꞌejeruregui ha ombojevy jey Access-Control-Allow-Origin (ACAO) ñembohovái iñakãrapuꞌa [S2]-pe. Kóva oheja hekopete oimeraẽva página web oike hag̃ua recurso [S2]-pe.

O rehegua ZXCVFIXVIBESEG8 rehegua

  • Mba’e’oka oñemboheko vai: * comodín ohejáramo jepe oimeraẽva ypykue oike hag̃ua peteĩ mba’ekuaarãme, ndaikatúi ojepuru umi mba’ejerure oikotevẽva credencial-pe g̃uarã (cookie térã Autorización iñakãrapu’ãháicha) [S3]. Umi moheñóiharakuéra oñeha’ã jepi omboyke kóva omoheñóivo dinámicamente ACAO iñakãrapu’ãva oñemopyendáva mba’ejerure [S2].

O rehegua ZXCVFIXVIBESEG9 rehegua

  • Oñembojegua 'null': Oĩ purupyrã omoĩ morotĩva null ypykue, ikatúva oñembohape mbaꞌejerure oñembohasáva térã vore tetãygua rupive, ohejáva umi tenda vai oñembojegua null ypykue ramo ohupyty hag̃ua jeike [S2][S3].

O rehegua ZXCVFIXVIBESEG10 rehegua

  • Errors de parsing: Ojejavy regex térã cadena ñembojoajúpe oñemoañete jave Origin iñakãrapu’ãva ikatu oheja umi atacante oipuru dominio trusted-domain.com.attacker.com [S2]-icha.

O rehegua ZXCVFIXVIBESEG11 rehegua Iñimportánte jaikuaa CORS ndahaꞌeiha peteĩ ñangarekoha Falsificación de Solicitud de Sitio Cruzado (CSRF) [S2] rehe.

O rehegua ZXCVFIXVIBESEG12 rehegua

Ñemyatyrõ Hormigón rehegua

O rehegua ZXCVFIXVIBESEG13 rehegua

  • Eipuru peteĩ Lista Blanca Estática: Ejehekýi emoheñói dinámicamente Access-Control-Allow-Origin iñakãrapuꞌa pe mbaꞌejerure Origin iñakãrapuꞌa [S2]-gui. Upéva rangue, embojoja mba’ejerure ypykue peteĩ lista hardcoded dominio ojeroviakuaáva rehe [S3].

O rehegua ZXCVFIXVIBESEG14 rehegua

  • Ejehekýi ‘nulo’ Origen-gui: Araka’eve ani remoinge null nde lista blanca-pe umi origen ojehejáva [S2].

O rehegua ZXCVFIXVIBESEG15 rehegua

  • Emboty Credencial: Emohenda Access-Control-Allow-Credentials: true añoite tekotevẽtereíramo pe interacción específica origen kurusu rehegua [S3].

O rehegua ZXCVFIXVIBESEG16 rehegua

  • Eipuru Ñemoañete hekopete: Eipytyvõva’erãramo heta ypykue, eñangareko lógica jekuaaukarã Origin iñakãrapu’ãvape g̃uarã imbareteha ha ndaikatúi ojeheja rei umi subdominio térã dominio ojoguáva [S2] rupive.

O rehegua ZXCVFIXVIBESEG17 rehegua

Mba'éichapa FixVibe oproba hese

O rehegua ZXCVFIXVIBESEG18 rehegua FixVibe ko’áĝa omoinge kóva peteĩ cheque activo gated ramo. Ojehechakuaa rire dominio rehegua, active.cors omondo API mbaꞌejerure peteĩchagua origen rehegua peteĩ atacante sintético ypykue reheve ha ohesaꞌeꞌo CORS ñembohovái iñakãrapuꞌa. Omombe'u ohechaukáva origen arbitrario, credencial comodín CORS, ha CORS abierto ampliamente umi punto final API ndaha'éiva público ojehekýivo ruido activo público.