// For flags

CVE-2019-17590

 

Severity Score

8.8
*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

1
*Multiple Sources

Exploited in Wild

-
*KEV

Decision

-
*SSVC
Descriptions

The csrf_callback function in the CSRF Magic library through 2016-03-27 is vulnerable to CSRF protection bypass as it allows one to tamper with the csrf token values. A remote attacker can exploit this by crafting a malicious page and dispersing it to a victim via social engineering, enticing them to click the link. Once the user/victim clicks the "try again" button, the attacker can take over the account and perform unintended actions on the victim's behalf. NOTE: A third-party maintainer has stated that this CVE is a false report. They state that the csrf_callback function is actually a callback function to the callers own handler for output. The function called can be changed via configuration to a custom callback to handle failed validation differently. They also stated that there is no way for an attacker to change tokens to make them valid from the client side. The only thing an attack can do is to pull the token out of the javascript, but that will always be possible and has nothing to do with the callback

** EN DISPUTA ** La función csrf_callback en la biblioteca CSRF Magic hasta el 2016-03-27 es vulnerable a la omisión de la protección CSRF ya que permite manipular los valores del token csrf. Un atacante remoto puede explotar esto creando una página maliciosa y dispersándola a una víctima mediante ingeniería social, incitándoles a hacer clic en el enlace. Una vez que el usuario / víctima hace clic en el botón "intentar de nuevo", el atacante puede hacerse cargo de la cuenta y realizar acciones involuntarias en nombre de la víctima. NOTA: Un mantenedor externo ha declarado que este CVE es un informe falso. Afirman que la función csrf_callback es en realidad una función de devolución de llamada para el manejador propio de la persona que llama para la salida. La función llamada se puede cambiar a través de la configuración a una devolución de llamada personalizada para manejar la validación fallida de manera diferente. También declararon que no hay forma de que un atacante cambie los tokens para que sean válidos desde el lado del cliente. Lo único que puede hacer un ataque es extraer el token del javascript, pero eso siempre será posible y no tiene nada que ver con la devolución de llamada.

*Credits: N/A
CVSS Scores
Attack Vector
Network
Attack Complexity
Low
Privileges Required
None
User Interaction
Required
Scope
Unchanged
Confidentiality
High
Integrity
High
Availability
High
Attack Vector
Network
Attack Complexity
Medium
Authentication
None
Confidentiality
Partial
Integrity
Partial
Availability
Partial
* Common Vulnerability Scoring System
SSVC
  • Decision:-
Exploitation
-
Automatable
-
Tech. Impact
-
* Organization's Worst-case Scenario
Timeline
  • 2019-10-14 CVE Reserved
  • 2019-11-26 CVE Published
  • 2024-01-05 EPSS Updated
  • 2024-08-05 CVE Updated
  • 2024-08-05 First Exploit
  • ---------- Exploited in Wild
  • ---------- KEV Due Date
CWE
  • CWE-352: Cross-Site Request Forgery (CSRF)
CAPEC
References (1)
URL Tag Source
URL Date SRC
https://pastebin.com/01tDgq7u 2024-08-05
URL Date SRC
URL Date SRC
Affected Vendors, Products, and Versions
Vendor Product Version Other Status
Vendor Product Version Other Status <-- --> Vendor Product Version Other Status
Csrf Magic Project
Search vendor "Csrf Magic Project"
 Csrf Magic
Search vendor "Csrf Magic Project" for product "Csrf Magic"
 <= 2016-03-27
Search vendor "Csrf Magic Project" for product "Csrf Magic" and version " <= 2016-03-27"
-
Affected