GHSA-75xc-qvxh-27f8

Опубликовано: 19 апр. 2021

Источник: github

Github: Прошло ревью

CVSS3: 4

Описание

Timing side channel vulnerability in UIDL request handler in Vaadin 7 and 8

Non-constant-time comparison of CSRF tokens in UIDL request handler in com.vaadin:vaadin-server versions 7.0.0 through 7.7.23 (Vaadin 7.0.0 through 7.7.23), and 8.0.0 through 8.12.2 (Vaadin 8.0.0 through 8.12.2) allows attacker to guess a security token via timing attack

https://vaadin.com/security/cve-2021-31403

Ссылки

Пакеты

Наименование

com.vaadin:vaadin-bom

maven

Затронутые версииВерсия исправления

>= 7.0.0, < 7.7.24

7.7.24

Наименование

com.vaadin:vaadin-bom

maven

Затронутые версииВерсия исправления

>= 8.0.0, < 8.12.3

8.12.3

Наименование

com.vaadin:vaadin-server

maven

Затронутые версииВерсия исправления

>= 7.0.0, < 7.7.24

7.7.24

Наименование

com.vaadin:vaadin-server

maven

Затронутые версииВерсия исправления

>= 8.0.0, < 8.12.3

8.12.3

EPSS

Процентиль: 31%

0.00116

Низкий

4 Medium

CVSS3

CVE ID

CVE-2021-31403

Дефекты

CWE-203

CWE-208

Связанные уязвимости

CVE-2021-31403

CVSS3: 4

nvd

почти 5 лет назад

Non-constant-time comparison of CSRF tokens in UIDL request handler in com.vaadin:vaadin-server versions 7.0.0 through 7.7.23 (Vaadin 7.0.0 through 7.7.23), and 8.0.0 through 8.12.2 (Vaadin 8.0.0 through 8.12.2) allows attacker to guess a security token via timing attack

EPSS

Процентиль: 31%

0.00116

Низкий

4 Medium

CVSS3

CVE ID

CVE-2021-31403

Дефекты

CWE-203

CWE-208