ГлавнаяБаза уязвимостей БДУ → BDU:2025-03588
10критическая

BDU:2025-03588

Уязвимость протокола 3DSecure (3DS2), связанная с подделкой межсайтовых запросов, позволяющая нарушителю осуществить CSRF-атаку
Опубликовано: 2025-04-01
Описание

Уязвимость протокола 3DSecure (3DS2) связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить CSRF-атаку через изменение HTTP-заголовков Origin и Referer

Затрагиваемое ПО и версии
3DSecure (2.0)
Способ устранения

Компенсирующие меры:
- использование одноразовых токенов (CSRF-токены);
- уведомлять пользователей о подозрительных действиях и предоставлять возможность подтверждения транзакций через дополнительные каналы (например, SMS или email);
- внедрение CAPTCHA на этапах чувствительных к CSRF-атакам;
-

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://seclists.org/fulldisclosure/2024/Sep/31
Проверьте безопасность своего сайта и почты → Полная проверка домена