GHSA-m8rw-rcpq-2vp2

Опубликовано: 13 дек. 2023

Источник: github

Github: Прошло ревью

CVSS4: 9.3

CVSS3: 9.1

Описание

Improper Privilege Management in github.com/sap/cloud-security-client-go

Impact

SAP BTP Security Services Integration Library ([Golang] github.com/sap/cloud-security-client-go) allows under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application.

Patches

Upgrade to patched version >= 0.17.0 We always recommend to upgrade to the latest released version.

Workarounds

No workarounds

References

https://www.cve.org/CVERecord?id=CVE-2023-50424

Ссылки

Пакеты

Наименование

github.com/sap/cloud-security-client-go

Затронутые версииВерсия исправления

< 0.17.0

0.17.0

EPSS

Процентиль: 63%

0.00458

Низкий

9.3 Critical

CVSS4

9.1 Critical

CVSS3

CVE ID

CVE-2023-50424

Дефекты

CWE-269

Связанные уязвимости

CVE-2023-50424

CVSS3: 9.1

nvd

около 2 лет назад

SAP BTP Security Services Integration Library ([Golang] github.com/sap/cloud-security-client-go) - versions < 0.17.0, allow under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application.

BDU:2023-08963

CVSS3: 9.1

fstec

около 2 лет назад

Уязвимость библиотеки аутентификации в приложениях с использованием службы идентификации SAP (IAS) cloud-security-client-go платформы разработки, интеграции и расширения приложений в виртуальной среде SAP Business Technology Platform (BTP), связанная с небезопасным управлением привилегиями, позволяющая нарушителю повысить свои привилегии

EPSS

Процентиль: 63%

0.00458

Низкий

9.3 Critical

CVSS4

9.1 Critical

CVSS3

CVE ID

CVE-2023-50424

Дефекты

CWE-269