Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-01801

Опубликовано: 04 янв. 2023
Источник: fstec
CVSS3: 6.1
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость компонента Form Authentication Java-фреймворка Quarkus связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, провести атаку межсайтового скриптинга (XSS)

Вендор

Red Hat Inc.

Наименование ПО

Red Hat build of Quarkus
Quarkus

Версия ПО

- (Red Hat build of Quarkus)
до 2.13.7 (Quarkus)
2.7.7 (Red Hat build of Quarkus)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Quarkus:
https://github.com/quarkusio/quarkus/commit/47bb512f8c3ff6f1f87df87f0e9761305775fa1b
https://github.com/quarkusio/quarkus/pull/30413
https://github.com/quarkusio/quarkus/releases/tag/2.13.7.Final
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-0044

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 30%
0.00109
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2023-0044

CVSS3: 5.3
redhat
около 3 лет назад

If the Quarkus Form Authentication session cookie Path attribute is set to `/` then a cross-site attack may be initiated which might lead to the Information Disclosure. This attack can be prevented with the Quarkus CSRF Prevention feature.

nvd логотип

CVE-2023-0044

CVSS3: 6.1
nvd
почти 3 года назад

If the Quarkus Form Authentication session cookie Path attribute is set to `/` then a cross-site attack may be initiated which might lead to the Information Disclosure. This attack can be prevented with the Quarkus CSRF Prevention feature.

github логотип

GHSA-c57v-hc7m-8px2

CVSS3: 6.1
github
почти 3 года назад

Cross-site Scripting in Quarkus

EPSS

Процентиль: 30%
0.00109
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2