exploitDog

CVE-2023-36820

Опубликовано: 09 окт. 2023

Источник: nvd

CVSS3: 4.8

CVSS3: 6.5

EPSS Низкий

Описание

Micronaut Security is a security solution for applications. Prior to versions 3.1.2, 3.2.4, 3.3.2, 3.4.3, 3.5.3, 3.6.6, 3.7.4, 3.8.4, 3.9.6, 3.10.2, and 3.11.1, IdTokenClaimsValidator skips aud claim validation if token is issued by same identity issuer/provider. Any OIDC setup using Micronaut where multiple OIDC applications exists for the same issuer but token auth are not meant to be shared. This issue has been patched in versions 3.1.2, 3.2.4, 3.3.2, 3.4.3, 3.5.3, 3.6.6, 3.7.4, 3.8.4, 3.9.6, 3.10.2, and 3.11.1.

Ссылки

https://github.com/micronaut-projects/micronaut-security/commit/9728b925221a0d87798ccf250657a3c214b7e980
Patch
https://github.com/micronaut-projects/micronaut-security/security/advisories/GHSA-qw22-8w9r-864h
Exploit
Mitigation
Third Party Advisory
https://github.com/micronaut-projects/micronaut-security/commit/9728b925221a0d87798ccf250657a3c214b7e980
Patch
https://github.com/micronaut-projects/micronaut-security/security/advisories/GHSA-qw22-8w9r-864h
Exploit
Mitigation
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:objectcomputing:micronaut_security:*:*:*:*:*:*:*:*

Версия до 3.1.2 (исключая)

cpe:2.3:a:objectcomputing:micronaut_security:*:*:*:*:*:*:*:*

Версия от 3.2.0 (включая) до 3.2.4 (исключая)

cpe:2.3:a:objectcomputing:micronaut_security:*:*:*:*:*:*:*:*

Версия от 3.3.0 (включая) до 3.3.2 (исключая)

cpe:2.3:a:objectcomputing:micronaut_security:*:*:*:*:*:*:*:*

Версия от 3.4.0 (включая) до 3.4.3 (исключая)

cpe:2.3:a:objectcomputing:micronaut_security:*:*:*:*:*:*:*:*

Версия от 3.5.0 (включая) до 3.5.3 (исключая)

cpe:2.3:a:objectcomputing:micronaut_security:*:*:*:*:*:*:*:*

Версия от 3.6.0 (включая) до 3.6.6 (исключая)

cpe:2.3:a:objectcomputing:micronaut_security:*:*:*:*:*:*:*:*

Версия от 3.7.0 (включая) до 3.7.4 (исключая)

cpe:2.3:a:objectcomputing:micronaut_security:*:*:*:*:*:*:*:*

Версия от 3.8.0 (включая) до 3.8.4 (исключая)

cpe:2.3:a:objectcomputing:micronaut_security:*:*:*:*:*:*:*:*

Версия от 3.9.0 (включая) до 3.9.6 (исключая)

cpe:2.3:a:objectcomputing:micronaut_security:*:*:*:*:*:*:*:*

Версия от 3.10.0 (включая) до 3.10.2 (исключая)

cpe:2.3:a:objectcomputing:micronaut_security:3.11.0:*:*:*:*:*:*:*

EPSS

Процентиль: 65%

0.0049

Низкий

4.8 Medium

CVSS3

6.5 Medium

CVSS3

Дефекты

CWE-284

Связанные уязвимости

GHSA-qw22-8w9r-864h

CVSS3: 6.5

github

больше 2 лет назад

io.micronaut.security:micronaut-security-oauth2 has invalid IdTokenClaimsValidator logic on aud

EPSS

Процентиль: 65%

0.0049

Низкий

4.8 Medium

CVSS3

6.5 Medium

CVSS3

Дефекты

CWE-284