CVE-2021-31406

Опубликовано: 23 апр. 2021

Источник: nvd

CVSS3: 4

CVSS3: 2.5

CVSS2: 1.9

EPSS Низкий

Описание

Non-constant-time comparison of CSRF tokens in endpoint request handler in com.vaadin:flow-server versions 3.0.0 through 5.0.3 (Vaadin 15.0.0 through 18.0.6), and com.vaadin:fusion-endpoint version 6.0.0 (Vaadin 19.0.0) allows attacker to guess a security token for Fusion endpoints via timing attack.

Ссылки

https://github.com/vaadin/flow/pull/10157
Patch
Third Party Advisory
https://vaadin.com/security/cve-2021-31406
Vendor Advisory
https://github.com/vaadin/flow/pull/10157
Patch
Third Party Advisory
https://vaadin.com/security/cve-2021-31406
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:vaadin:flow:*:*:*:*:*:*:*:*

Версия от 3.0.0 (включая) до 5.0.4 (исключая)

cpe:2.3:a:vaadin:flow:6.0.0:-:*:*:*:*:*:*

cpe:2.3:a:vaadin:vaadin:*:*:*:*:*:*:*:*

Версия от 15.0.0 (включая) до 18.0.7 (исключая)

cpe:2.3:a:vaadin:vaadin:19.0.0:-:*:*:*:*:*:*

EPSS

Процентиль: 17%

0.00054

Низкий

4 Medium

CVSS3

2.5 Low

CVSS3

1.9 Low

CVSS2

Дефекты

CWE-208

CWE-203

Связанные уязвимости

GHSA-p7jq-v8jp-j424

CVSS3: 4

github

почти 5 лет назад

Timing side channel vulnerability in endpoint request handler in Vaadin 15-19

EPSS

Процентиль: 17%

0.00054

Низкий

4 Medium

CVSS3

2.5 Low

CVSS3

1.9 Low

CVSS2

Дефекты

CWE-208

CWE-203