CVE-2022-39267

Опубликовано: 19 окт. 2022

Источник: nvd

CVSS3: 8.8

EPSS Низкий

Описание

Bifrost is a heterogeneous middleware that synchronizes MySQL, MariaDB to Redis, MongoDB, ClickHouse, MySQL and other services for production environments. Versions prior to 1.8.8-release are subject to authentication bypass in the admin and monitor user groups by deleting the X-Requested-With: XMLHttpRequest field in the request header. This issue has been patched in 1.8.8-release. There are no known workarounds.

Ссылки

https://github.com/brockercap/Bifrost/pull/201
Broken Link
https://github.com/brokercap/Bifrost/security/advisories/GHSA-mxrx-fg8p-5p5j
Patch
Third Party Advisory
https://github.com/brockercap/Bifrost/pull/201
Broken Link
https://github.com/brokercap/Bifrost/security/advisories/GHSA-mxrx-fg8p-5p5j
Patch
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:xbifrost:bifrost:*:*:*:*:*:*:*:*

Версия до 1.8.6 (включая)

EPSS

Процентиль: 58%

0.00364

Низкий

8.8 High

CVSS3

Дефекты

CWE-287

Связанные уязвимости

GHSA-mxrx-fg8p-5p5j

CVSS3: 8.8

github

больше 3 лет назад

Bifrost vulnerable to authentication check flaw that leads to authentication bypass

BDU:2022-06440

CVSS3: 8.8

fstec

больше 3 лет назад

Уязвимость программного средства синхронизации без данных Bifrost, связанная с недостатками процедуры аутентификации, позволяющая нарушителю повысить свои привилегии

EPSS

Процентиль: 58%

0.00364

Низкий

8.8 High

CVSS3

Дефекты

CWE-287