Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02450

Опубликовано: 19 мар. 2024
Источник: fstec
CVSS3: 8.1
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость фреймворка для создания веб-приложений на языке Java Apache Wicket связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить CSRF-атаку с помощью специально созданной веб-страницы

Вендор

Apache Software Foundation

Наименование ПО

Wicket

Версия ПО

от 9.1.0 до 9.17.0 (Wicket)
от 10.0.0-M1 до 10.0.0 (Wicket)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://lists.apache.org/thread/o825rvjjtmz3qv21ps5k7m2w9193g1lo

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 62%
0.00434
Низкий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-27439

CVSS3: 8.1
redhat
почти 2 года назад

An error in the evaluation of the fetch metadata headers could allow a bypass of the CSRF protection in Apache Wicket. This issue affects Apache Wicket: from 9.1.0 through 9.16.0, and the milestone releases for the 10.0 series. Apache Wicket 8.x does not support CSRF protection via the fetch metadata headers and as such is not affected. Users are recommended to upgrade to version 9.17.0 or 10.0.0, which fixes the issue.

nvd логотип

CVE-2024-27439

CVSS3: 6.5
nvd
почти 2 года назад

An error in the evaluation of the fetch metadata headers could allow a bypass of the CSRF protection in Apache Wicket. This issue affects Apache Wicket: from 9.1.0 through 9.16.0, and the milestone releases for the 10.0 series. Apache Wicket 8.x does not support CSRF protection via the fetch metadata headers and as such is not affected. Users are recommended to upgrade to version 9.17.0 or 10.0.0, which fixes the issue.

github логотип

GHSA-8vvp-525h-cxf9

CVSS3: 6.5
github
почти 2 года назад

Cross-Site Request Forgery in Apache Wicket

EPSS

Процентиль: 62%
0.00434
Низкий

8.1 High

CVSS3

7.6 High

CVSS2