Eine kürzlich veröffentlichte Sicherheitswarnung weist auf eine kritische Schwachstelle in der Bibliothek async-http-client hin, die zahlreiche Backend-Dienste potenziell gefährden kann. Die Schwachstelle mit der CVE-ID CVE-2024-53990 betrifft alle Versionen bis einschließlich 3.0.0 und wurde in der Version 3.0.1 behoben. Entwickler, die diese Bibliothek verwenden, sind dringend aufgefordert, ein Update durchzuführen, um das Sicherheitsrisiko zu minimieren.
Das Problem liegt in der automatischen Verwaltung des CookieStore (auch bekannt als „Cookie Jar“), die standardmäßig aktiviert ist. Bei HTTP-Anfragen ersetzt der CookieStore stillschweigend explizit definierte Cookies durch solche, die denselben Namen besitzen und zuvor im CookieStore gespeichert wurden. In Szenarien mit mehreren Benutzern kann dies dazu führen, dass ein Cookie eines Benutzers für die Anfragen eines anderen Benutzers verwendet wird.
Dies ist besonders problematisch für Dienste, die Third-Party-Authentifizierungsfunktionen implementieren oder Funktionen wie Token-Refresh verwenden. Wenn beispielsweise ein Authentifizierungs-Cookie eines Benutzers durch ein Cookie eines anderen Benutzers überschrieben wird, können Folgeanfragen fehlschlagen oder, im schlimmsten Fall, unbefugten Zugriff auf sensible Daten ermöglichen.
Proof of Concept (PoC)
Ein Proof-of-Concept zeigt, wie die Schwachstelle ausgenutzt werden kann:
- Ein Authentifizierungs-Cookie wird in den CookieStore hinzugefügt, beispielsweise durch eine HTTP-Antwort mit einem
Set-Cookie-Header. - Eine weitere Anfrage wird gestellt, bei der ein anderes Cookie desselben Namens explizit angegeben wird, beispielsweise ein JWT-Token.
- Der CookieStore ersetzt das explizit definierte Cookie aus Schritt 2 durch das zuvor gespeicherte Cookie aus Schritt 1.
Dies kann dazu führen, dass Benutzeranfragen nicht korrekt authentifiziert werden oder unbefugte Daten offengelegt werden.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: