Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-q43c-g2g7-6gxj

Опубликовано: 30 нояб. 2017
Источник: github
Github: Прошло ревью
CVSS3: 8.8

Описание

Cross-Site Request Forgery (CSRF) in keystone

Versions of keystone prior to 4.0.0 are vulnerable to Cross-Site Request Forgery (CSRF). The package fails to validate the presence of the X-CSRF-Token header, which may allow attackers to carry actions on behalf of other users on all endpoints.

Recommendation

Update to version 4.0.0 or later.

Ссылки

Пакеты

Наименование

keystone

npm
Затронутые версииВерсия исправления

<= 4.0.0-beta.6

4.0.0-beta.7

EPSS

Процентиль: 42%
0.00198
Низкий

8.8 High

CVSS3

CVE ID

CVE-2017-16570

Дефекты

CWE-352

Связанные уязвимости

nvd логотип

CVE-2017-16570

CVSS3: 8.8
nvd
больше 8 лет назад

KeystoneJS before 4.0.0-beta.7 allows application-wide CSRF bypass by removing the CSRF parameter and value, aka SecureLayer7 issue number SL7_KEYJS_03. In other words, it fails to reject requests that lack an x-csrf-token header.

EPSS

Процентиль: 42%
0.00198
Низкий

8.8 High

CVSS3

CVE ID

CVE-2017-16570

Дефекты

CWE-352