Firebase JavaScript SDK 中的会话劫持(CVE-2024-11023)
CVE编号
CVE-2024-11023
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-18
漏洞描述
Firebase JavaScript SDK 使用名为 "FIREBASE_DEFAULTS" 的 cookie 来存储配置数据,其中包括用于会话同步的 "_authTokenSyncURL" 字段。如果该 cookie 字段通过任何其他方法被攻击者预先设置,攻击者可以操纵 "_authTokenSyncURL" 指向他们自己的服务器,这将允许攻击者捕获 SDK 传输的用户会话数据。我们建议使用户升级到至少 Firebase JS SDK 10.9. 0 版本。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论