Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05461

Опубликовано: 08 сент. 2023
Источник: fstec
CVSS3: 8.1
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость политики безопасности HTTP Java-фреймворка Quarkus связана с недостатками разграничения доступа в результате непринятия мер по нейтрализации ведущих символов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности, получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании

Вендор

Red Hat Inc.

Наименование ПО

Red Hat Process Automation
Red Hat build of Quarkus
Red Hat Integration Camel K
Red Hat Integration Service Registry
Red Hat Integration Camel Quarkus
Decision Manager
OpenShift Serverless
Red Hat build of OptaPlanner

Версия ПО

7 (Red Hat Process Automation)
- (Red Hat build of Quarkus)
- (Red Hat Integration Camel K)
- (Red Hat Integration Service Registry)
- (Red Hat Integration Camel Quarkus)
7 (Decision Manager)
- (OpenShift Serverless)
8 (Red Hat build of OptaPlanner)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://access.redhat.com/security/cve/cve-2023-4853
Компенсирующие меры:
Используйте параметр deny для следующих путей:
deny: /*
authenticated: /services/*
или
deny: /services/*
roles-allowed: /services/rbac/*

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 57%
0.00348
Низкий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2023-4853

CVSS3: 8.1
redhat
больше 2 лет назад

A flaw was found in Quarkus where HTTP security policies are not sanitizing certain character permutations correctly when accepting requests, resulting in incorrect evaluation of permissions. This issue could allow an attacker to bypass the security policy altogether, resulting in unauthorized endpoint access and possibly a denial of service.

nvd логотип

CVE-2023-4853

CVSS3: 8.1
nvd
больше 2 лет назад

A flaw was found in Quarkus where HTTP security policies are not sanitizing certain character permutations correctly when accepting requests, resulting in incorrect evaluation of permissions. This issue could allow an attacker to bypass the security policy altogether, resulting in unauthorized endpoint access and possibly a denial of service.

github логотип

GHSA-4f4r-wgv2-jjvg

CVSS3: 8.1
github
больше 2 лет назад

Quarkus HTTP vulnerable to incorrect evaluation of permissions

EPSS

Процентиль: 57%
0.00348
Низкий

8.1 High

CVSS3

7.6 High

CVSS2