Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03765

Опубликовано: 30 мая 2023
Источник: fstec
CVSS3: 6.5
CVSS2: 7.7
EPSS Низкий

Описание

Уязвимость реализации протокола TLS Java-фреймворка Quarkus связана с недостаточной надежностью шифрования при использовании конфигурации quarkus.http.ssl.protocols. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения

Наименование ПО

Red Hat build of Quarkus
quarkus

Версия ПО

- (Red Hat build of Quarkus)
до 2.13.8 (quarkus)

Тип ПО

Прикладное ПО информационных систем
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,7)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Quarkus:
https://github.com/quarkusio/quarkus/releases/tag/2.13.8.Final
Для Red Hat build of Quarkus:
https://access.redhat.com/security/cve/cve-2023-2974

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 57%
0.00353
Низкий

6.5 Medium

CVSS3

7.7 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2023-2974

CVSS3: 6.5
redhat
больше 2 лет назад

A vulnerability was found in quarkus-core. This vulnerability occurs because the TLS protocol configured with quarkus.http.ssl.protocols is not enforced, and the client can force the selection of the weaker supported TLS protocol.

nvd логотип

CVE-2023-2974

CVSS3: 6.5
nvd
больше 2 лет назад

A vulnerability was found in quarkus-core. This vulnerability occurs because the TLS protocol configured with quarkus.http.ssl.protocols is not enforced, and the client can force the selection of the weaker supported TLS protocol.

github логотип

GHSA-3fhx-3vvg-2j84

CVSS3: 6.5
github
больше 2 лет назад

quarkus-core vulnerable to client driven TLS cipher downgrading

EPSS

Процентиль: 57%
0.00353
Низкий

6.5 Medium

CVSS3

7.7 High

CVSS2