从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:Bypass CSRF Middleware by a request without Content-Type header - 发布者:yusukebe - 发布时间:8小时之前 - 包名:hono (npm) - 受影响版本:< 4.6.5 - 已修复版本:4.6.5 2. 漏洞细节: - CSRF middleware通常会验证Content-Type header,但Hono总是认为没有Content-Type header的请求是安全的。 3. 代码示例: - 文件中的代码片段,展示了如何绕过CSRF保护。 4. PoC: - 通过修改fetch API的请求,可以绕过CSRF保护。 - 代码示例展示了如何通过POST请求绕过CSRF保护。 5. 影响: - 使用hono csrf middleware实现的CSRF保护被绕过。 6. CVSS评分: - CVSS v3评分:5.9 / 10 - CVSS v3指标: - Attack Vector:Network - Attack Complexity:High - Privileges Required:None - User Interaction:Required - Scope:Unchanged - Confidentiality:Low - Integrity:High - Availability:None 7. CVE编号: - CVE-2024-48913 8. 弱点: - CWE-352 这些信息可以帮助理解漏洞的性质、影响范围以及如何利用漏洞。