exploitDog

GHSA-rc8x-jrrc-frfv

Опубликовано: 17 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 6.1

Описание

Laravel does not properly constrain the host portion of a password-reset URL

Laravel 5.4.x before 5.4.22 does not properly constrain the host portion of a password-reset URL, which makes it easier for remote attackers to conduct phishing attacks by specifying an attacker-controlled host.

Ссылки

Пакеты

Наименование

laravel/laravel

composer

Затронутые версииВерсия исправления

>= 5.4.0, < 5.4.22

5.4.22

Наименование

illuminate/auth

composer

Затронутые версииВерсия исправления

>= 5.3.0, <= 5.3.31

Отсутствует

Наименование

illuminate/auth

composer

Затронутые версииВерсия исправления

>= 5.4.0, < 5.4.22

5.4.22

Наименование

laravel/framework

composer

Затронутые версииВерсия исправления

>= 5.3.0, <= 5.3.31

Отсутствует

Наименование

laravel/framework

composer

Затронутые версииВерсия исправления

>= 5.4.0, < 5.4.22

5.4.22

EPSS

Процентиль: 43%

0.00203

Низкий

6.1 Medium

CVSS3

CVE ID

Дефекты

CWE-20

Связанные уязвимости

CVE-2017-9303

CVSS3: 6.1

nvd

около 8 лет назад

Laravel 5.4.x before 5.4.22 does not properly constrain the host portion of a password-reset URL, which makes it easier for remote attackers to conduct phishing attacks by specifying an attacker-controlled host.

CVE-2017-9303

CVSS3: 6.1

debian

около 8 лет назад

Laravel 5.4.x before 5.4.22 does not properly constrain the host porti ...

EPSS

Процентиль: 43%

0.00203

Низкий

6.1 Medium

CVSS3

CVE ID

Дефекты

CWE-20