Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-04432

Опубликовано: 06 янв. 2022
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость API-интерфейса WHATWG Fetch для Node Cross-fetch связана с ошибками обработки файлов cookie. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Red Hat Inc.
Leonardo Quixada

Наименование ПО

Red Hat JBoss Fuse
Red Hat Descision Manager
Red Hat Process Automation
Openshift Service Mesh
Red Hat Advanced Cluster Management for Kubernetes
Red Hat Migration Toolkit for Containers
Cross-fetch

Версия ПО

7 (Red Hat JBoss Fuse)
7 (Red Hat Descision Manager)
7 (Red Hat Process Automation)
2 (Openshift Service Mesh)
2 (Red Hat Advanced Cluster Management for Kubernetes)
- (Red Hat Migration Toolkit for Containers)
2.4 (Red Hat Advanced Cluster Management for Kubernetes)
2.1.0 (Openshift Service Mesh)
до 3.1.5 (Cross-fetch)

Тип ПО

Прикладное ПО информационных систем
Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Cross-fetch:
https://github.com/lquixada/cross-fetch/commit/a3b3a9481091ddd06b8f83784ba9c4e034dc912a
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-1365

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 50%
0.00273
Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2022-1365

CVSS3: 7.1
redhat
почти 4 года назад

Exposure of Private Personal Information to an Unauthorized Actor in GitHub repository lquixada/cross-fetch prior to 3.1.5.

nvd логотип

CVE-2022-1365

CVSS3: 6.5
nvd
почти 4 года назад

Exposure of Private Personal Information to an Unauthorized Actor in GitHub repository lquixada/cross-fetch prior to 3.1.5.

github логотип

GHSA-7gc6-qh9x-w6h8

CVSS3: 6.1
github
почти 4 года назад

Withdrawn Advisory: Incorrect Authorization in cross-fetch

EPSS

Процентиль: 50%
0.00273
Низкий

8.8 High

CVSS3

10 Critical

CVSS2