GHSA-49wp-qq6x-g2rf

Опубликовано: 20 янв. 2021

Источник: github

Github: Прошло ревью

CVSS3: 8.8

Описание

Cross-site Request Forgery in fastify-csrf

The package fastify-csrf before 3.0.0 has a set of issues that affect its ability to do CSRF protection.

The generated cookie used insecure defaults, and did not have the httpOnly flag on: cookieOpts: { path: '/', sameSite: true }
The CSRF token was available in the GET query parameter

Ссылки

Пакеты

Наименование

fastify-csrf

npm

Затронутые версииВерсия исправления

< 3.0.0

3.0.0

EPSS

Процентиль: 53%

0.00307

Низкий

8.8 High

CVSS3

CVE ID

CVE-2020-28482

Дефекты

CWE-352

Связанные уязвимости

CVE-2020-28482

CVSS3: 5.9

nvd

около 5 лет назад

This affects the package fastify-csrf before 3.0.0. 1. The generated cookie used insecure defaults, and did not have the httpOnly flag on: cookieOpts: { path: '/', sameSite: true } 2. The CSRF token was available in the GET query parameter

EPSS

Процентиль: 53%

0.00307

Низкий

8.8 High

CVSS3

CVE ID

CVE-2020-28482

Дефекты

CWE-352