Описание
Уязвимость протокола 3DSecure (3DS2) связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить CSRF-атаку через изменение HTTP-заголовков Origin и Referer
Вендор
Broadcom Inc.
Наименование ПО
3DSecure
Версия ПО
2.0 (3DSecure)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- использование одноразовых токенов (CSRF-токены);
- уведомлять пользователей о подозрительных действиях и предоставлять возможность подтверждения транзакций через дополнительные каналы (например, SMS или email);
- внедрение CAPTCHA на этапах чувствительных к CSRF-атакам;
-
Статус уязвимости
Потенциальная уязвимость
Наличие эксплойта
Данные уточняются
Информация об устранении
Информация об устранении отсутствует
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
8.8 High
CVSS3
10 Critical
CVSS2
Связанные уязвимости
nvd
больше 1 года назад
Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. Reason: This candidate was issued in error. Notes: All references and descriptions in this candidate have been removed to prevent accidental usage.
CVSS3: 8.8
github
больше 1 года назад
3DSecure 2.0 allows CSRF in the Authorization Method via modified Origin and Referer HTTP headers.
8.8 High
CVSS3
10 Critical
CVSS2