BDU:2021-04259

Опубликовано: 30 июн. 2021

Источник: fstec

CVSS3: 3.1

CVSS2: 2.1

EPSS Низкий

Описание

Уязвимость реализации класса ScramServer (org.wildfly.security.mechanism.scram.ScramServer) среды безопасности WildFly Elytron связана с раскрытием информации через несоответствие. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Red Hat Inc.

Наименование ПО

JBoss Enterprise Application Platform

OpenShift Application Runtimes

Data Grid

Red Hat Process Automation

WildFly Elytron

Версия ПО

7 (JBoss Enterprise Application Platform)

- (OpenShift Application Runtimes)

8 (Data Grid)

7 (Red Hat Process Automation)

до 1.10.14 (WildFly Elytron)

от 1.11.0 до 1.15.5 (WildFly Elytron)

от 1.16.0 до 1.16.1 (WildFly Elytron)

Тип ПО

Прикладное ПО информационных систем

Средство защиты

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,1)

Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://issues.redhat.com/browse/ELY-2147

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-3642
CVE

EPSS

Процентиль: 50%

0.00267

Низкий

3.1 Low

CVSS3

2.1 Low

CVSS2

Связанные уязвимости

CVE-2021-3642

CVSS3: 3.1

redhat

больше 4 лет назад

A flaw was found in Wildfly Elytron in versions prior to 1.10.14.Final, prior to 1.15.5.Final and prior to 1.16.1.Final where ScramServer may be susceptible to Timing Attack if enabled. The highest threat of this vulnerability is confidentiality.

CVE-2021-3642

CVSS3: 5.3

nvd