关键漏洞信息 漏洞概述 CVE ID: CVE-2025-24358 GHSA ID: GHSA-rq77-p4h8-4crw 严重性: 中等 (5.4/10) 受影响版本: < 1.7.3 修复版本: 1.7.3 漏洞描述 包: github.com/gorilla/csrf (Go) 问题: gorilla/csrf 对于来自与目标源共享顶级域名的源的表单提交存在 CSRF 漏洞。 原因: gorilla/csrf 不验证 Origin 头是否在白名单中。它仅在认为请求通过 TLS 提供服务时执行 Referer 头的验证,但实际上此检查并未运行。 影响 此漏洞允许攻击者在子域或顶级域上获得 XSS 后,对共享相同顶级域名的 gorilla/csrf 保护的目标执行经过身份验证的表单提交。 利用方式 (PoC) 1. 创建受信任源 ,使用 gorilla/csrf 保护并通过 TLS 提供表单。 2. 创建攻击者源 ,通过 TLS 提供。 3. 攻击者从 窃取 token 和 cookie 组合。 4. 攻击者设置窃取的 cookie,使其具有更具体的路径 。 5. 从 提交表单,使用窃取的 CSRF token。 6. 观察有效的表单提交,其中 Origin/Referer 头未被验证。 弱点 CWE ID: CWE-352 参考资料 GHSA-rq77-p4h8-4crw gorilla/csrf@9d6da1 NVD详情 PKG GO漏洞 Debian公告 其他信息 报告者: patrickod 发布时间: 上个月 最后更新时间: 2周前