CVE-2021-25640

Опубликовано: 01 июн. 2021

Источник: nvd

CVSS3: 6.1

CVSS2: 5.8

EPSS Низкий

Описание

In Apache Dubbo prior to 2.6.9 and 2.7.9, the usage of parseURL method will lead to the bypass of white host check which can cause open redirect or SSRF vulnerability.

Ссылки

https://lists.apache.org/thread.html/re4cab8855361a454d2af106fb3dad76259e723015fd7e09cb4f9eb77%40%3Cdev.dubbo.apache.org%3E
Mailing List
Vendor Advisory
https://lists.apache.org/thread.html/re4cab8855361a454d2af106fb3dad76259e723015fd7e09cb4f9eb77%40%3Cdev.dubbo.apache.org%3E
Mailing List
Vendor Advisory
https://lists.apache.org/thread.html/re4cab8855361a454d2af106fb3dad76259e723015fd7e09cb4f9eb77%40%3Cdev.dubbo.apache.org%3E
Mailing List
Vendor Advisory
https://lists.apache.org/thread.html/re4cab8855361a454d2af106fb3dad76259e723015fd7e09cb4f9eb77%40%3Cdev.dubbo.apache.org%3E
Mailing List
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:*

Версия от 2.5.0 (включая) до 2.6.9 (исключая)

cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:*

Версия от 2.7.0 (включая) до 2.7.9 (исключая)

EPSS

Процентиль: 72%

0.00705

Низкий

6.1 Medium

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-918

CWE-601

Связанные уязвимости

GHSA-gw4j-4229-q4px