Описание
The default configuration of a TreeGrid component uses Object::toString as a key on the client-side and server communication in Vaadin 14.8.5 through 14.8.9, 22.0.6 through 22.0.14, 23.0.0.beta2 through 23.0.8 and 23.1.0.alpha1 through 23.1.0.alpha4, resulting in potential information disclosure of values that should not be available on the client-side.
Ссылки
- Issue TrackingPatchThird Party Advisory
- Issue TrackingVendor Advisory
- Issue TrackingPatchThird Party Advisory
- Issue TrackingVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 14.8.5 (включая) до 14.8.9 (включая)Версия от 22.0.6 (включая) до 22.0.15 (включая)Версия от 23.0.1 (включая) до 23.0.8 (включая)
Одно из
cpe:2.3:a:vaadin:vaadin:*:*:*:*:*:*:*:*
cpe:2.3:a:vaadin:vaadin:*:*:*:*:*:*:*:*
cpe:2.3:a:vaadin:vaadin:*:*:*:*:*:*:*:*
cpe:2.3:a:vaadin:vaadin:23.0.0:-:*:*:*:*:*:*
cpe:2.3:a:vaadin:vaadin:23.0.0:beta2:*:*:*:*:*:*
cpe:2.3:a:vaadin:vaadin:23.0.0:beta3:*:*:*:*:*:*
cpe:2.3:a:vaadin:vaadin:23.0.0:beta4:*:*:*:*:*:*
cpe:2.3:a:vaadin:vaadin:23.0.0:rc1:*:*:*:*:*:*
cpe:2.3:a:vaadin:vaadin:23.1.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:vaadin:vaadin:23.1.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:vaadin:vaadin:23.1.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:vaadin:vaadin:23.1.0:alpha4:*:*:*:*:*:*
EPSS
Процентиль: 50%
0.00267
Низкий
5.7 Medium
CVSS3
7.5 High
CVSS3
5 Medium
CVSS2
Дефекты
CWE-200
CWE-200
Связанные уязвимости
CVSS3: 5.7
github
больше 3 лет назад
Possible information disclosure inside TreeGrid component with default data provider
EPSS
Процентиль: 50%
0.00267
Низкий
5.7 Medium
CVSS3
7.5 High
CVSS3
5 Medium
CVSS2
Дефекты
CWE-200
CWE-200