Описание
Missing check in UIDL request handler in com.vaadin:flow-server versions 1.0.0 through 1.0.5 (Vaadin 10.0.0 through 10.0.7, and 11.0.0 through 11.0.2) allows attacker to update element property values via crafted synchronization message.
Ссылки
- PatchThird Party Advisory
- Vendor Advisory
- PatchThird Party Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 1.0.0 (включая) до 1.0.6 (исключая)Версия от 10.0.0 (включая) до 10.0.8 (исключая)Версия от 11.0.0 (включая) до 11.0.3 (исключая)
Одно из
cpe:2.3:a:vaadin:flow:*:*:*:*:*:*:*:*
cpe:2.3:a:vaadin:vaadin:*:*:*:*:*:*:*:*
cpe:2.3:a:vaadin:vaadin:*:*:*:*:*:*:*:*
EPSS
Процентиль: 52%
0.00288
Низкий
2.6 Low
CVSS3
4.3 Medium
CVSS3
4 Medium
CVSS2
Дефекты
CWE-754
CWE-754
Связанные уязвимости
CVSS3: 2.6
github
почти 5 лет назад
Unauthorized client-side property update in UIDL request handler in Vaadin 10 and 11
EPSS
Процентиль: 52%
0.00288
Низкий
2.6 Low
CVSS3
4.3 Medium
CVSS3
4 Medium
CVSS2
Дефекты
CWE-754
CWE-754