exploitDog

GHSA-64gv-3pqv-299h

Опубликовано: 07 мая 2021

Источник: github

Github: Прошло ревью

CVSS3: 7.5

Описание

Exposure of Sensitive Information to an Unauthorized Actor in Apache Wicket

By crafting a special URL it is possible to make Wicket deliver unprocessed HTML templates. This would allow an attacker to see possibly sensitive information inside a HTML template that is usually removed during rendering. Affected are Apache Wicket versions 7.16.0, 8.8.0 and 9.0.0-M5

Ссылки

Пакеты

Наименование

org.apache.wicket:wicket-core

maven

Затронутые версииВерсия исправления

< 7.17.0

7.17.0

Наименование

org.apache.wicket:wicket-core

maven

Затронутые версииВерсия исправления

>= 8.0.0, < 8.9.0

8.9.0

Наименование

org.apache.wicket:wicket-core

maven

Затронутые версииВерсия исправления

= 9.0.0-M1

9.0.0

Наименование

org.apache.wicket:wicket-core

maven

Затронутые версииВерсия исправления

= 9.0.0-M2

9.0.0

Наименование

org.apache.wicket:wicket-core

maven

Затронутые версииВерсия исправления

= 9.0.0-M3

9.0.0

Наименование

org.apache.wicket:wicket-core

maven

Затронутые версииВерсия исправления

= 9.0.0-M4

9.0.0

Наименование

org.apache.wicket:wicket-core

maven

Затронутые версииВерсия исправления

= 9.0.0-M5

9.0.0

EPSS

Процентиль: 83%

0.02033

Низкий

7.5 High

CVSS3

CVE ID

Дефекты

CWE-200

CWE-552

Связанные уязвимости

CVE-2020-11976

CVSS3: 7.5

nvd

больше 5 лет назад

By crafting a special URL it is possible to make Wicket deliver unprocessed HTML templates. This would allow an attacker to see possibly sensitive information inside a HTML template that is usually removed during rendering. Affected are Apache Wicket versions 7.16.0, 8.8.0 and 9.0.0-M5

EPSS

Процентиль: 83%

0.02033

Низкий

7.5 High

CVSS3

CVE ID

Дефекты

CWE-200

CWE-552