Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-4f4r-wgv2-jjvg

Опубликовано: 20 сент. 2023
Источник: github
Github: Прошло ревью
CVSS3: 8.1

Описание

Quarkus HTTP vulnerable to incorrect evaluation of permissions

A flaw was found in Quarkus where HTTP security policies are not sanitizing certain character permutations correctly when accepting requests, resulting in incorrect evaluation of permissions. This issue could allow an attacker to bypass the security policy altogether, resulting in unauthorized endpoint access and possibly a denial of service.

Ссылки

Пакеты

Наименование

io.quarkus:quarkus-vertx-http

maven
Затронутые версииВерсия исправления

< 2.16.11.Final

2.16.11.Final

Наименование

io.quarkus:quarkus-vertx-http

maven
Затронутые версииВерсия исправления

>= 3.0.0, < 3.2.6.Final

3.2.6.Final

Наименование

io.quarkus:quarkus-vertx-http

maven
Затронутые версииВерсия исправления

>= 3.3.0, < 3.3.3

3.3.3

Наименование

io.quarkus:quarkus-undertow

maven
Затронутые версииВерсия исправления

< 2.16.11.Final

2.16.11.Final

Наименование

io.quarkus:quarkus-undertow

maven
Затронутые версииВерсия исправления

>= 3.0.0, < 3.2.6.Final

3.2.6.Final

Наименование

io.quarkus:quarkus-undertow

maven
Затронутые версииВерсия исправления

>= 3.3.0, < 3.3.3

3.3.3

Наименование

io.quarkus:quarkus-csrf-reactive

maven
Затронутые версииВерсия исправления

< 2.16.11.Final

2.16.11.Final

Наименование

io.quarkus:quarkus-csrf-reactive

maven
Затронутые версииВерсия исправления

>= 3.0.0, < 3.2.6.Final

3.2.6.Final

Наименование

io.quarkus:quarkus-csrf-reactive

maven
Затронутые версииВерсия исправления

>= 3.3.0, < 3.3.3

3.3.3

Наименование

io.quarkus:quarkus-keycloak-authorization

maven
Затронутые версииВерсия исправления

< 2.16.11.Final

2.16.11.Final

Наименование

io.quarkus:quarkus-keycloak-authorization

maven
Затронутые версииВерсия исправления

>= 3.0.0, < 3.2.6.Final

3.2.6.Final

Наименование

io.quarkus:quarkus-keycloak-authorization

maven
Затронутые версииВерсия исправления

>= 3.3.0, < 3.3.3

3.3.3

EPSS

Процентиль: 57%
0.00348
Низкий

8.1 High

CVSS3

CVE ID

CVE-2023-4853

Дефекты

CWE-148
CWE-863

Связанные уязвимости

redhat логотип

CVE-2023-4853

CVSS3: 8.1
redhat
больше 2 лет назад

A flaw was found in Quarkus where HTTP security policies are not sanitizing certain character permutations correctly when accepting requests, resulting in incorrect evaluation of permissions. This issue could allow an attacker to bypass the security policy altogether, resulting in unauthorized endpoint access and possibly a denial of service.

nvd логотип

CVE-2023-4853

CVSS3: 8.1
nvd
больше 2 лет назад

A flaw was found in Quarkus where HTTP security policies are not sanitizing certain character permutations correctly when accepting requests, resulting in incorrect evaluation of permissions. This issue could allow an attacker to bypass the security policy altogether, resulting in unauthorized endpoint access and possibly a denial of service.

fstec логотип

BDU:2023-05461

CVSS3: 8.1
fstec
больше 2 лет назад

Уязвимость политики безопасности HTTP Java-фреймворка Quarkus, позволяющая нарушителю обойти ограничения безопасности, получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании

EPSS

Процентиль: 57%
0.00348
Низкий

8.1 High

CVSS3

CVE ID

CVE-2023-4853

Дефекты

CWE-148
CWE-863