CVE-2022-28108

Опубликовано: 19 апр. 2022

Источник: nvd

CVSS3: 8.8

CVSS2: 9.3

EPSS Высокий

Описание

Selenium Server (Grid) before 4 allows CSRF because it permits non-JSON content types such as application/x-www-form-urlencoded, multipart/form-data, and text/plain.

Ссылки

https://www.gabriel.urdhr.fr/2022/02/07/selenium-standalone-server-csrf-dns-rebinding-rce/
Exploit
Third Party Advisory
https://www.openwall.com/lists/oss-security/2022/02/07/3
Mailing List
Not Applicable
Third Party Advisory
https://www.selenium.dev/downloads/
Product
Vendor Advisory
https://www.gabriel.urdhr.fr/2022/02/07/selenium-standalone-server-csrf-dns-rebinding-rce/
Exploit
Third Party Advisory
https://www.openwall.com/lists/oss-security/2022/02/07/3
Mailing List
Not Applicable
Third Party Advisory
https://www.selenium.dev/downloads/
Product
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:selenium:selenium_grid:*:*:*:*:*:*:*:*

Версия до 4.0.0 (исключая)

cpe:2.3:a:selenium:selenium_grid:4.0.0:-:*:*:*:*:*:*

cpe:2.3:a:selenium:selenium_grid:4.0.0:alpha1:*:*:*:*:*:*

cpe:2.3:a:selenium:selenium_grid:4.0.0:alpha2:*:*:*:*:*:*

cpe:2.3:a:selenium:selenium_grid:4.0.0:alpha3:*:*:*:*:*:*

cpe:2.3:a:selenium:selenium_grid:4.0.0:alpha4:*:*:*:*:*:*

cpe:2.3:a:selenium:selenium_grid:4.0.0:alpha5:*:*:*:*:*:*

cpe:2.3:a:selenium:selenium_grid:4.0.0:alpha6:*:*:*:*:*:*

EPSS

Процентиль: 99%

0.70347

Высокий

8.8 High

CVSS3

9.3 Critical

CVSS2

Дефекты

CWE-352

Связанные уязвимости

GHSA-h2rr-m97p-6jq9

CVSS3: 8.8

github

почти 4 года назад

Selenium Server (Grid) CSRF

BDU:2025-00929

CVSS3: 8.8

fstec

около 4 лет назад

Уязвимость инструмента распределенного выполнения тестов Selenium Server (Grid), связанная с подделкой межсайтовых запросов, позволяющая нарушителю осуществить CSRF-атаку

EPSS

Процентиль: 99%

0.70347

Высокий

8.8 High

CVSS3

9.3 Critical

CVSS2

Дефекты

CWE-352