CVE-2023-34047

Опубликовано: 20 сент. 2023

Источник: nvd

CVSS3: 3.1

CVSS3: 4.3

EPSS Низкий

Описание

A batch loader function in Spring for GraphQL versions 1.1.0 - 1.1.5 and 1.2.0 - 1.2.2 may be exposed to GraphQL context with values, including security context values, from a different session. An application is vulnerable if it provides a DataLoaderOptions instance when registering batch loader functions through DefaultBatchLoaderRegistry.

Ссылки

https://spring.io/security/cve-2023-34047
Vendor Advisory
https://spring.io/security/cve-2023-34047
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:vmware:spring_for_graphql:*:*:*:*:*:*:*:*

Версия от 1.1.0 (включая) до 1.1.5 (включая)

cpe:2.3:a:vmware:spring_for_graphql:*:*:*:*:*:*:*:*

Версия от 1.2.0 (включая) до 1.2.2 (включая)

EPSS

Процентиль: 64%

0.00475

Низкий

3.1 Low

CVSS3

4.3 Medium

CVSS3

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

GHSA-frqc-f2h8-fjvf

CVSS3: 3.1

github

больше 2 лет назад

Spring for GraphQL may be exposed to GraphQL context with values from a different session

EPSS

Процентиль: 64%

0.00475

Низкий

3.1 Low

CVSS3

4.3 Medium

CVSS3

Дефекты

NVD-CWE-noinfo