GHSA-697v-pxg3-j262

Опубликовано: 15 июл. 2022

Источник: github

Github: Прошло ревью

CVSS3: 8.8

Описание

Togglz console missing cross-site request forgery (CSRF) protection

Togglz is an implementation of the Feature Toggles pattern for Java. There is no CSRF protection in the togglz console and could allow an attacker to guess the CSRF token value. Version 2.9.4 adds the necessary CSRF protection.

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2020-28191
https://github.com/togglz/togglz/pull/495
https://github.com/togglz/togglz/commit/ed66e3f584de954297ebaf98ea4a235286784707
https://www.mend.io/vulnerability-database/CVE-2020-28191

Пакеты

Наименование

org.togglz:togglz-console

maven

Затронутые версииВерсия исправления

< 2.9.4

2.9.4

EPSS

Процентиль: 45%

0.00222

Низкий

8.8 High

CVSS3

CVE ID

CVE-2020-28191

Дефекты

CWE-352

Связанные уязвимости

CVE-2020-28191

CVSS3: 8.8

nvd

около 3 лет назад

The console in Togglz before 2.9.4 allows CSRF.

EPSS

Процентиль: 45%

0.00222

Низкий

8.8 High

CVSS3

CVE ID

CVE-2020-28191

Дефекты

CWE-352