CSRFコンテンツタイプのブラックリストのバイパス

CVE-ID

CVE-2020-12480

日付

2020年8月10日

説明

一部の場合、クロスサイトリクエストフォージェリ(CSRF)保護のPlayのcontentType.blackListは、不正なContent-Typeを送信することでバイパスされる可能性がありました。

影響

これは、Playの組み込みCSRFフィルタを使用し、CSRF保護用のContent-Typeのブラックリストを構成しているPlayアプリケーションにのみ影響します。Playのデフォルト構成では、ブラックリストは構成されていません。代わりに、すべてのリクエストにコンテンツタイプに関係なくCSRF保護が適用されるため、この脆弱性はデフォルト構成を使用するアプリケーションには影響しません。

ブラックリストが使用されている場合、悪意のあるユーザーはPlayアプリケーションに対してCSRF攻撃を実行できる可能性があります。

影響を受けるバージョン

• Play 2.8.0-2.8.1
• Play 2.7.0-2.7.4
• Play 2.6.x

修正

この問題は、Play 2.8.2と2.7.5で修正されています。このバージョンはサポートが終了しているため、2.6.xリリースにはこの修正は適用されません。このセキュリティ問題を回避するには、できるだけ早くアップグレードしてください。

CVSSメトリクス(詳細情報)

全体: 3.6
AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N/E:F/RL:O/RC:U

謝辞

https://www.doyensec.com/のケビン・ヨーンセンがこの脆弱性を発見した功績を称えます。