Описание
Pivotal Concourse, most versions prior to 6.0.0, allows redirects to untrusted websites in its login flow. A remote unauthenticated attacker could convince a user to click on a link using the OAuth redirect link with an untrusted website and gain access to that user's access token in Concourse. (This issue is similar to, but distinct from, CVE-2018-15798.)
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 5.2.8 (исключая)Версия от 5.3.0 (включая) до 5.5.10 (исключая)Версия от 5.6.0 (включая) до 5.8.1 (исключая)
Одно из
cpe:2.3:a:pivotal_software:concourse:*:*:*:*:*:*:*:*
cpe:2.3:a:pivotal_software:concourse:*:*:*:*:*:*:*:*
cpe:2.3:a:pivotal_software:concourse:*:*:*:*:*:*:*:*
EPSS
Процентиль: 71%
0.00666
Низкий
7.6 High
CVSS3
6.1 Medium
CVSS3
5.8 Medium
CVSS2
Дефекты
CWE-601
CWE-601
EPSS
Процентиль: 71%
0.00666
Низкий
7.6 High
CVSS3
6.1 Medium
CVSS3
5.8 Medium
CVSS2
Дефекты
CWE-601
CWE-601