GHSA-2rmp-fw5r-j5qv

Опубликовано: 18 мая 2021

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Improper Authentication in InfluxDB

InfluxDB before 1.7.6 has an authentication bypass vulnerability in the authenticate function in services/httpd/handler.go because a JWT token may have an empty SharedSecret (aka shared secret).

Ссылки

Пакеты

Наименование

github.com/influxdata/influxdb

Затронутые версииВерсия исправления

< 1.7.6

1.7.6

EPSS

Процентиль: 100%

0.93968

Критический

9.8 Critical

CVSS3

CVE ID

CVE-2019-20933

Дефекты

CWE-287

Связанные уязвимости

CVE-2019-20933

CVSS3: 9.8

ubuntu

около 5 лет назад

InfluxDB before 1.7.6 has an authentication bypass vulnerability in the authenticate function in services/httpd/handler.go because a JWT token may have an empty SharedSecret (aka shared secret).

CVE-2019-20933

CVSS3: 8.6

redhat

почти 7 лет назад

InfluxDB before 1.7.6 has an authentication bypass vulnerability in the authenticate function in services/httpd/handler.go because a JWT token may have an empty SharedSecret (aka shared secret).

CVE-2019-20933

CVSS3: 9.8

nvd

около 5 лет назад

InfluxDB before 1.7.6 has an authentication bypass vulnerability in the authenticate function in services/httpd/handler.go because a JWT token may have an empty SharedSecret (aka shared secret).

CVE-2019-20933

CVSS3: 9.8

debian

около 5 лет назад

InfluxDB before 1.7.6 has an authentication bypass vulnerability in th ...

BDU:2021-01905

CVSS3: 9.8

fstec

почти 7 лет назад

Уязвимость функции authenticate компонента services/httpd/handler.go базы данных временных рядов InfluxDB, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

EPSS

Процентиль: 100%

0.93968

Критический

9.8 Critical

CVSS3

CVE ID

CVE-2019-20933

Дефекты

CWE-287