exploitDog

GHSA-5f9v-mv5g-jh5q

Опубликовано: 22 июн. 2023

Источник: github

Github: Прошло ревью

CVSS3: 5.7

Описание

Vaadin vulnerable to possible information disclosure in non visible components.

Description

When adding non-visible components to the UI in server side, content is sent to the browser in Vaadin 10.0.0 through 10.0.22, 11.0.0 through 14.10.0, 15.0.0 through 22.0.28, 23.0.0 through 23.3.12, 24.0.0 through 24.0.5 and 24.1.0.alpha1 to 24.1.0.beta1, resulting in potential information disclosure.

https://vaadin.com/security/cve-2023-25499

Ссылки

Пакеты

Наименование

com.vaadin:vaadin

maven

Затронутые версииВерсия исправления

>= 10.0.0, < 10.0.23

10.0.23

Наименование

com.vaadin:vaadin

maven

Затронутые версииВерсия исправления

>= 11.0.0, < 14.10.1

14.10.1

Наименование

com.vaadin:vaadin

maven

Затронутые версииВерсия исправления

>= 23.0.0, < 23.3.13

23.3.13

Наименование

com.vaadin:vaadin

maven

Затронутые версииВерсия исправления

>= 24.0.0, < 24.0.6

24.0.6

Наименование

com.vaadin:vaadin

maven

Затронутые версииВерсия исправления

>= 24.1.0.alpha1, < 24.1.0

24.1.0

Наименование

com.vaadin:flow-server

maven

Затронутые версииВерсия исправления

>= 1.0.0, < 1.0.20

1.0.20

Наименование

com.vaadin:flow-server

maven

Затронутые версииВерсия исправления

>= 1.1.0, < 2.8.10

2.8.10

Наименование

com.vaadin:flow-server

maven

Затронутые версииВерсия исправления

>= 3.0.0, < 9.1.1

9.1.1

Наименование

com.vaadin:flow-server

maven

Затронутые версииВерсия исправления

>= 23.0.0, < 23.3.11

23.3.11

Наименование

com.vaadin:flow-server

maven

Затронутые версииВерсия исправления

>= 24.0.0, < 24.0.8

24.0.8

Наименование

com.vaadin:flow-server

maven

Затронутые версииВерсия исправления

>= 24.1.0.alpha1, < 24.1.0

24.1.0

EPSS

Процентиль: 46%

0.00235

Низкий

5.7 Medium

CVSS3

CVE ID

Дефекты

CWE-200

CWE-201

Связанные уязвимости

CVE-2023-25499

CVSS3: 5.7

nvd

больше 2 лет назад

When adding non-visible components to the UI in server side, content is sent to the browser in Vaadin 10.0.0 through 10.0.22, 11.0.0 through 14.10.0, 15.0.0 through 22.0.28, 23.0.0 through 23.3.12, 24.0.0 through 24.0.5 and 24.1.0.alpha1 to 24.1.0.beta1, resulting in potential information disclosure.

EPSS

Процентиль: 46%

0.00235

Низкий

5.7 Medium

CVSS3

CVE ID

Дефекты

CWE-200

CWE-201