CVE-2019-12422

Опубликовано: 18 нояб. 2019

Источник: debian

EPSS Средний

Описание

Apache Shiro before 1.4.2, when using the default "remember me" configuration, cookies could be susceptible to a padding attack.

Пакеты

Пакет	Статус	Релиз	Тип
shiro	unfixed		package
shiro	no-dsa	trixie	package
shiro	no-dsa	bookworm	package
shiro	no-dsa	bullseye	package
shiro	no-dsa	buster	package
shiro	no-dsa	stretch	package
shiro	no-dsa	jessie	package

Примечания

https://www.openwall.com/lists/oss-security/2019/11/18/1
Fixed by https://github.com/apache/shiro/commit/44f6548b97610cdf661976969d5735c0be14a57b#diff-a8fc9cf5d6f24966aa18cdf0850a730e

EPSS

Процентиль: 98%

0.56421

Средний

Связанные уязвимости

CVE-2019-12422

CVSS3: 7.5

ubuntu

около 6 лет назад

Apache Shiro before 1.4.2, when using the default "remember me" configuration, cookies could be susceptible to a padding attack.

CVE-2019-12422

CVSS3: 7.4

redhat

около 6 лет назад

Apache Shiro before 1.4.2, when using the default "remember me" configuration, cookies could be susceptible to a padding attack.

CVE-2019-12422

CVSS3: 7.5

nvd

около 6 лет назад

Apache Shiro before 1.4.2, when using the default "remember me" configuration, cookies could be susceptible to a padding attack.

GHSA-r679-m633-g7wc

CVSS3: 7.5

github

около 6 лет назад

Improper input validation in Apache Shiro

BDU:2019-04890

CVSS3: 7.5

fstec

около 6 лет назад

Уязвимость фреймворка Apache Shiro, связанная с использованием конфигурации «remember me» по умолчанию, позволяющая нарушителю оказать воздействие на целостность cookie-файлов

EPSS

Процентиль: 98%

0.56421

Средний