exploitDog

GHSA-qfr3-323w-qv27

Опубликовано: 25 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 5.7

Описание

Possible information disclosure inside TreeGrid component with default data provider

Description

The default configuration of a TreeGrid component uses Object::toString as a key on the client-side and server communication in Vaadin 14.8.5 through 14.8.9, 22.0.6 through 22.0.14, 23.0.0.beta2 through 23.0.8 and 23.1.0.alpha1 through 23.1.0.alpha4, resulting in potential information disclosure of values that should not be available on the client-side.

Ссылки

Пакеты

Наименование

com.vaadin:vaadin

maven

Затронутые версииВерсия исправления

>= 14.8.5, < 14.8.10

14.8.10

Наименование

com.vaadin:vaadin

maven

Затронутые версииВерсия исправления

>= 22.0.6, < 22.0.15

22.0.15

Наименование

com.vaadin:vaadin

maven

Затронутые версииВерсия исправления

>= 23.0.0, < 23.0.9

23.0.9

Наименование

com.vaadin:vaadin-grid-flow

maven

Затронутые версииВерсия исправления

>= 14.8.5, < 14.8.10

14.8.10

Наименование

com.vaadin:vaadin-grid-flow

maven

Затронутые версииВерсия исправления

>= 22.0.6, < 22.0.15

22.0.15

Наименование

com.vaadin:vaadin-grid-flow

maven

Затронутые версииВерсия исправления

>= 23.0.0.beta2, < 23.0.9

23.0.9

EPSS

Процентиль: 50%

0.00267

Низкий

5.7 Medium

CVSS3

CVE ID

Дефекты

CWE-200

Связанные уязвимости

CVE-2022-29567

CVSS3: 5.7

nvd

больше 3 лет назад

The default configuration of a TreeGrid component uses Object::toString as a key on the client-side and server communication in Vaadin 14.8.5 through 14.8.9, 22.0.6 through 22.0.14, 23.0.0.beta2 through 23.0.8 and 23.1.0.alpha1 through 23.1.0.alpha4, resulting in potential information disclosure of values that should not be available on the client-side.

EPSS

Процентиль: 50%

0.00267

Низкий

5.7 Medium

CVSS3

CVE ID

Дефекты

CWE-200