CVE-2020-37056
KrytyczneStreszczenie
Crystal Shard http-protection w wersji 0.2.0 zawiera podatność na fałszowanie adresów IP, która pozwala atakującym na ominięcie zabezpieczeń middleware poprzez manipulację nagłówkami żądań. Atakujący mogą ustawić stałe wartości IP w nagłówkach X-Forwarded-For, X-Client-IP i X-Real-IP, aby obejść kontrole bezpieczeństwa.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do systemów, co stwarza poważne zagrożenie dla integralności i poufności danych w organizacji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Crystal Shard http-protection oraz wdrożenie dodatkowych mechanizmów weryfikacji adresów IP w nagłówkach żądań.
Oryginalny opis (angielski, źródło NVD)
Crystal Shard http-protection 0.2.0 contains an IP spoofing vulnerability that allows attackers to bypass protection middleware by manipulating request headers. Attackers can hardcode consistent IP values across X-Forwarded-For, X-Client-IP, and X-Real-IP headers to circumvent security checks and gain unauthorized access.

