影響: undici は Set-Cookie ヘッダーを解析する際に、RFC 6265 で定められた大文字小文字を区別しない厳密な一致を行わず、Strict、Lax、None を部分文字列として含む任意の SameSite 属性値を受け入れてしまいます。仕様にない値は、3つの標準トークンのいずれかに黙ってマッピングされます。例えば、SameSite=NoneOfYourBusiness は None(最も許容的な設定)として解析され、SameSite=StrictLax は Lax(Strict からのダウングレード)として解析されます。影響を受けるアプリケーションは、Set-Cookie ヘッダーをサーバーレスポンスから取得し(例: undici の fetch や proxy のコード経路を経由して)、解析した sameSite 属性を転送または依存しています。悪意のあるサーバーや非準拠のサーバーは、クッキーの SameSite ポリシーの消費者の見え方をより弱い値に強制し、クッキーの SameSite 強制を黙って低下させる可能性があります。この問題は、クッキー機能が追加された undici 5.15.0 で導入されました。修正方法: undici を v6.26.0、v7.28.0、または v8.5.0 にアップグレードしてください。回避策: Set-Cookie ヘッダー解析後に得られた sameSite 属性が『Strict』、『Lax』、または『None』(大文字小文字を区別しない厳密一致)であることを検証してから、転送または依存してください。
|