exploitDog

GHSA-xh6m-7cr7-xx66

Опубликовано: 27 фев. 2024

Источник: github

Github: Прошло ревью

CVSS3: 7.6

Описание

Missing permission checks on Hazelcast client protocol

Impact

In Hazelcast through 4.1.10, 4.2 through 4.2.8, 5.0 through 5.0.5, 5.1 through 5.1.7, 5.2 through 5.2.4, and 5.3 through 5.3.2, some client operations don't check permissions properly, allowing authenticated users to access data stored in the cluster.

Patches

Fix versions: 5.2.5, 5.3.5, 5.4.0-BETA-1

Workarounds

There is no known workaround.

Ссылки

Пакеты

Наименование

com.hazelcast:hazelcast

maven

Затронутые версииВерсия исправления

<= 4.1.10

Отсутствует

Наименование

com.hazelcast:hazelcast

maven

Затронутые версииВерсия исправления

>= 4.2, <= 4.2.8

Отсутствует

Наименование

com.hazelcast:hazelcast

maven

Затронутые версииВерсия исправления

>= 5.0, <= 5.0.5

Отсутствует

Наименование

com.hazelcast:hazelcast

maven

Затронутые версииВерсия исправления

>= 5.1, <= 5.1.7

Отсутствует

Наименование

com.hazelcast:hazelcast

maven

Затронутые версииВерсия исправления

>= 5.2.0, <= 5.2.4

5.2.5

Наименование

com.hazelcast:hazelcast

maven

Затронутые версииВерсия исправления

>= 5.3.0, < 5.3.5

5.3.5

Наименование

com.hazelcast:hazelcast-all

maven

Затронутые версииВерсия исправления

<= 4.1.10

Отсутствует

Наименование

com.hazelcast:hazelcast-all

maven

Затронутые версииВерсия исправления

>= 4.2, <= 4.2.8

Отсутствует

EPSS

Процентиль: 38%

0.0017

Низкий

7.6 High

CVSS3

CVE ID

Дефекты

CWE-281

CWE-922

Связанные уязвимости

CVE-2023-45859

CVSS3: 7.6

nvd

почти 2 года назад

In Hazelcast through 4.1.10, 4.2 through 4.2.8, 5.0 through 5.0.5, 5.1 through 5.1.7, 5.2 through 5.2.4, and 5.3 through 5.3.2, some client operations don't check permissions properly, allowing authenticated users to access data stored in the cluster.

CVE-2023-45859

CVSS3: 7.6

debian

почти 2 года назад

In Hazelcast through 4.1.10, 4.2 through 4.2.8, 5.0 through 5.0.5, 5.1 ...

EPSS

Процентиль: 38%

0.0017

Низкий

7.6 High

CVSS3

CVE ID

Дефекты

CWE-281

CWE-922