Описание
CoreResponseStateManager in Apache MyFaces Trinidad 1.0.0 through 1.0.13, 1.2.x before 1.2.15, 2.0.x before 2.0.2, and 2.1.x before 2.1.2 might allow attackers to conduct deserialization attacks via a crafted serialized view state string.
Ссылки
- Mailing ListVendor Advisory
- Third Party AdvisoryVDB Entry
- Patch
- Patch
- Patch
- Patch
- Patch
- Patch
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Vendor Advisory
- Mailing ListVendor Advisory
- Third Party AdvisoryVDB Entry
- Patch
- Patch
- Patch
- Patch
- Patch
Уязвимые конфигурации
Конфигурация 1Версия от 1.0.0 (включая) до 1.0.13 (исключая)Версия от 1.2.0 (включая) до 1.2.15 (исключая)Версия от 2.0.0 (включая) до 2.0.2 (исключая)Версия от 2.1.0 (включая) до 2.1.2 (исключая)
Одно из
cpe:2.3:a:apache:myfaces_trinidad:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:myfaces_trinidad:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:myfaces_trinidad:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:myfaces_trinidad:*:*:*:*:*:*:*:*
EPSS
Процентиль: 90%
0.06021
Низкий
9.8 Critical
CVSS3
7.5 High
CVSS2
Дефекты
CWE-502
Связанные уязвимости
CVSS3: 9.8
github
больше 3 лет назад
Apache MyFaces Trinidad Deserialization Vulnerability
EPSS
Процентиль: 90%
0.06021
Низкий
9.8 Critical
CVSS3
7.5 High
CVSS2
Дефекты
CWE-502