Linux Distros 未修補弱點:CVE-2021-32677
high Nessus Plugin ID 223921
語言:
概要
Linux/Unix 主機上安裝的一個或多個套件存有弱點,供應商表示將不會修補。說明
Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且供應商未提供可用的修補程式。- FastAPI 是一個 web 架構,用於以標準 Python 類型提示為基礎,使用 Python 3.6+ 構建 API。比 0.65.2 舊的 FastAPI 版本,若在接收瀏覽器傳送之 JSON 承載的路徑作業中使用 cookie 進行驗證,則容易遭受跨網站要求偽造 (CSRF) 攻擊。在 0.65.2之前的版本中,即使傳送的 content-type 標頭未設為 application/json 或相容的 JSON 媒體類型 (例如 application/geo+json),FastAPI 仍會嘗試將要求承載讀取為 JSON。系統會接受內容類型為 text/plain 且含有 JSON 資料的要求,並擷取 JSON 資料。內容類型為 text/plain 的要求可免除 CORS 預檢,因為這會被視為簡單要求。瀏覽器會立即執行它們,包括 cookie,且文字內容可能是將由 FastAPI 應用程式剖析並接受的 JSON 字串。此問題已在 FastAPI 中修正 0.65.2。現在,只有在 content-type 標頭是 application/json 或其他 JSON 相容媒體類型 (如 application/geo+json) 時,才會將要求資料剖析為 JSON。最好升級至最新的 FastAPI,但如果無法更新,則可將檢查 content-type 標頭並在其非 application/json 或其他 JSON 相容內容類型時中止要求的中介軟體或相依性作為減輕因應措施。 (CVE-2021-32677)
請注意,Nessus 依賴供應商報告的套件存在。
解決方案
目前尚未有已知的解決方案。Plugin 詳細資訊
嚴重性: High
ID: 223921
檔案名稱: unpatched_CVE_2021_32677.nasl
版本: 1.1
類型: local
代理程式: unix
系列: Misc.
已發布: 2025/3/5
已更新: 2025/3/5
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.2
CVSS v2
風險因素: Medium
基本分數: 5.8
時間性分數: 4.3
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS 評分資料來源: CVE-2021-32677
CVSS v3
風險因素: High
基本分數: 8.1
時間性分數: 7.1
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched
可輕鬆利用: No known exploits are available
弱點發布日期: 2021/6/9
參考資訊
CVE: CVE-2021-32677