LabStack LLC echo 开放重定向漏洞 (CVE-2022-40083)

最新推荐文章于 2024-08-26 08:27:12 发布
最新推荐文章于 2024-08-26 08:27:12 发布
阅读量395 收藏
点赞数
文章标签: 安全 web安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/voctor2436/article/details/130422391
版权
LabStackEcho的v4.8.0版本被发现有一个静态处理程序组件导致的开放重定向漏洞,可能引发服务器端请求伪造(SSRF)。厂商已经发布了升级补丁(https://github.com/labstack/echo/issues/2259)来修复此问题。
摘要由CSDN通过智能技术生成

漏洞描述

echo是LabStack LLC开源的一个高性能、极简的Go web 框架。LabStack LLC echo v4.8.0 版本存在安全漏洞,该漏洞源于Static Handler 组件存在开放重定向问题,可能导致服务器端请求伪造(SSRF)。

Labstack Echo v4.8.0 was discovered to contain an open redirect vulnerability via the Static Handler component. This vulnerability can be leveraged by attackers to cause a Server-Side Request Forgery (SSRF).

NVD - CVE-2022-40083

漏洞建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.com/labstack/echo/issues/2259

漏洞复现:

 

大白卫士
关注
开源项目-labstack-echo.zip
10-25
开源项目-labstack-echo.zip,Echo v3.2.0 (New middleware: proxy, body-dump, casbin; Recipes: load-balancing, reverse-proxy; Miscellaneous: forum, echo-contrib)
LabStack/Echo 框架快速入门教程
gitblog_00784的博客
08-13 313
LabStack/Echo 框架快速入门教程 echoHigh performance, minimalist Go web framework项目地址:https://gitcode.com/gh_mirrors/ec/echo 1. 项目目录结构及介绍 LabStack/Echo 是一个高性能的 Go 语言 Web 微服务框架。下面是一般项目的基本目录结构: . ├── cmd ...
golang echo mysql_Go实战--golang中使用echo和MySQL搭建api(labstack/echo、go-sql-driver/mysql)...
weixin_34505326的博客
01-19 419
生命不止,继续 go go go!!!今天就跟大家介绍另一个golang的优秀的框架echo,今天作为开篇就写一个简单的Web应用吧。echoHigh performance, extensible, minimalist Go web framework特性:Optimized HTTP router which smartly prioritize routesBuild robust and...
无胁科技-TVD每日漏洞情报-2022-9-30
wuthreat无胁科技的博客
10-09 759
参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?漏洞编号:CVE-2022-40929;漏洞编号:CVE-2022-40083;
Go 语言 Web 开发利器:Echo 框架详解
m0_62153576的博客
10-13 1593
在 Go 语言的丰富生态系统中,有许多出色的 Web 框架,而 Echo 是其中备受瞩目的一员。它以高性能、简洁易用而著称。本博客将详细介绍如何使用 Echo 框架进行 Web 开发,包括安装、路由、中间件、模板引擎等方面。
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9
03-15
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关...
WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661.pdf
09-27
【WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661】是一个近期发现的安全问题,涉及到WordPress的核心函数`WP_Query`。这个漏洞并非直接的SQL注入,但因为`WP_Query`经常被WordPress插件广泛使用,所以其潜在的危害...
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
EchoX 使用指南
最新发布
gitblog_00630的博客
08-26 387
EchoX 使用指南 echoxEcho cookbook and website项目地址:https://gitcode.com/gh_mirrors/ec/echox 项目介绍 EchoX 是一个由 LabStack 开发的高性能、轻量级的 HTTP 框架,专为 Go 语言设计。它提供了一套丰富的中间件、路由功能以及易用的API,以支持快速开发web应用和服务。虽然提供的链接指向了一个不同的...
Web安全相关(三):开放重定向(Open Redirection)
weixin_30401605的博客
05-19 825
简介   那些通过请求(如查询字符串和表单数据)指定重定向URL的Web程序可能会被篡改,而把用户重定向到外部的恶意URL。这种篡改就被称为开发重定向攻击。 场景分析   假设有一个正规网站http://nerddinner.com/,还有一个恶意网站或钓鱼网站http://nerddiner.com/(注意:这里少了个n)。   一天,小白收到了别人发的链接:ht...
Go实战--golang中使用echo框架中的HTTP/2、Server Push(labstack/echo、golang.org/x/net/http2)
一蓑烟雨任平生 也无风雨也无晴
11-22 9714
生命不止,继续 go go go !!!继续echo web框架,今天搞一下http2。HTTP2What is HTTP/2? HTTP/2 is a replacement for how HTTP is expressed “on the wire.” It is not a ground-up rewrite of the protocol; HTTP methods, status co
Go实战--golang中使用echo框架中JSONP(labstack/echo)
一蓑烟雨任平生 也无风雨也无晴
11-24 1万+
生命不止,继续 go go go !!!继续,echo web框架,今天就聊一聊JSONP。JSONP1、什么是JSONP?JSONP (JSON with padding) is used to request data from a server residing in a different domain than the client. It was proposed by Bob Ippo
Go实战--golang中使用echo和MySQL搭建api(labstack/echo、go-sql-driver/mysql)
一蓑烟雨任平生 也无风雨也无晴
11-20 1万+
生命不止,继续 go go go!!!前面有几篇博客跟大家分享了一个golang的框架iris: Go实战–也许最快的Go语言Web框架kataras/iris初识四(i18n、filelogger、recaptcha)Go实战–也许最快的Go语言Web框架kataras/iris初识三(Redis、leveldb、BoltDB)Go实战–也许最快的Go语言Web框架kataras/iris初识二
Go实战--golang中使用echo嵌入静态资源(labstack/echo、GeertJohan/go.rice)
一蓑烟雨任平生 也无风雨也无晴
11-23 8331
生命不止,继续 go go go !!!使用 Go 开发应用的时候,有时会遇到需要读取静态资源的情况。比如开发 Web 应用,程序需要加载模板文件生成输出的 HTML。在程序部署的时候,除了发布应用可执行文件外,还需要发布依赖的静态资源文件。这给发布过程添加了一些麻烦。既然发布单独一个可执行文件是非常简单的操作,就有人会想办法把静态资源文件打包进 Go 的程序文件中。参考地址: http://fu
go初学者安装echo框架
热门推荐
qq849635649的博客
02-20 1万+
一、echo简介 go语言中,web框架非常多,但是echo绝对是性能非常好的一种,下面是各种go框架的性能对比 中国有这个框架的翻译版本,不是非常全,但是也基本上差不多了,如果英文基础好的话可以查阅英文版 - 点击打开链接 二、安装 因为golang.org在我们伟大的天朝无法访问的原因,所以按照官网上面的介绍是万万不可能安装成功的,这里我来把我之前安装的步骤整理一下,自
Apache Spark 命令注入漏洞CVE-2022-33891)修复与利用
Apache Spark 命令注入漏洞CVE-2022-33891) Apache Spark 命令注入漏洞CVE-2022-33891)是 Apache Spark 中的一种高危漏洞,允许攻击者通过命令注入来执行恶意命令,从而控制服务器。该漏洞影响 Apache Spark ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值