BDU:2024-09481

Опубликовано: 11 сент. 2024

Источник: fstec

CVSS3: 8.1

CVSS2: 8.5

EPSS Низкий

Описание

Уязвимость компонента ConsumerPullTransferTokenValidationApiController программного обеспечения для обработки данных и информационных экосистем Eclipse EDCсвязана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти проверку на истечение срока действия токена

Вендор

Eclipse Foundation

Наименование ПО

Eclipse EDC

Версия ПО

от 0.5.0 до 0.9.0 (Eclipse EDC)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://gitlab.eclipse.org/security/cve-assignement/-/issues/28

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-8642
CVE

EPSS

Процентиль: 31%

0.00115

Низкий

8.1 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

CVE-2024-8642

CVSS3: 8.1

nvd

больше 1 года назад

In Eclipse Dataspace Components, from version 0.5.0 and before version 0.9.0, the ConsumerPullTransferTokenValidationApiController does not check for token validity (expiry, not-before, issuance date), which can allow an attacker to bypass the check for token expiration. The issue requires to have a dataplane configured to support http proxy consumer pull AND include the module "transfer-data-plane". The affected code was marked deprecated from the version 0.6.0 in favour of Dataplane Signaling. In 0.9.0 the vulnerable code has been removed.

GHSA-8259-2x72-2gvc

CVSS3: 7.3

github