Play 框架安全公告

会话注入

日期

2013 年 8 月 6 日

描述

在 Play 的会话编码中发现了一个漏洞。

攻击者可以通过欺骗 Play 将包含空字节的特殊构造的值放入 Play 会话中,将任意数据注入会话。

影响

将用户输入数据放入 Play 的无状态会话机制中的任何应用程序都可能存在漏洞。

通常,这会影响将用户名存储在会话中以进行身份验证的应用程序,并允许攻击者将自己识别为其他用户。

受影响的版本

解决方法

验证放入会话中的所有值都不包含空字节。

修复

升级到以下适当的版本

CVSS 指标 (更多信息)

致谢

发现此漏洞的功劳归于澳大利亚国民银行安全保证团队。