GHSA-5v4m-c73v-c7gq

Опубликовано: 12 апр. 2022

Источник: github

Github: Прошло ревью

CVSS3: 8.1

Описание

Arbitrary Code Execution in Cookie Serialization

The default serialization used by Plug session may result in code execution in certain situations. Keep in mind, however, the session cookie is signed and this attack can only be exploited if the attacker has access to your secret key as well as your signing/encryption salts. We recommend users to change their secret key base and salts if they suspect they have been leaked, regardless of this vulnerability.

Ссылки

Пакеты

Наименование

plug

Затронутые версииВерсия исправления

< 1.0.4

1.0.4

Наименование

plug

Затронутые версииВерсия исправления

>= 1.1.0, < 1.1.7

1.1.7

Наименование

plug

Затронутые версииВерсия исправления

>= 1.2.0, < 1.2.3

1.2.3

Наименование

plug

Затронутые версииВерсия исправления

>= 1.3.0, < 1.3.2

1.3.2

EPSS

Процентиль: 78%

0.01151

Низкий

8.1 High

CVSS3

CVE ID

CVE-2017-1000053

Дефекты

CWE-502

Связанные уязвимости

CVE-2017-1000053

CVSS3: 8.1

nvd

больше 8 лет назад

Elixir Plug before v1.0.4, v1.1.7, v1.2.3 and v1.3.2 is vulnerable to arbitrary code execution in the deserialization functions of Plug.Session.

EPSS

Процентиль: 78%

0.01151

Низкий

8.1 High

CVSS3

CVE ID

CVE-2017-1000053

Дефекты

CWE-502