Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-4853

Опубликовано: 20 сент. 2023
Источник: nvd
CVSS3: 8.1
EPSS Низкий

Описание

A flaw was found in Quarkus where HTTP security policies are not sanitizing certain character permutations correctly when accepting requests, resulting in incorrect evaluation of permissions. This issue could allow an attacker to bypass the security policy altogether, resulting in unauthorized endpoint access and possibly a denial of service.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:quarkus:quarkus:*:*:*:*:*:*:*:*
Версия до 2.16.11 (исключая)
cpe:2.3:a:quarkus:quarkus:*:*:*:*:*:*:*:*
Версия от 3.2.0 (включая) до 3.2.6 (исключая)
cpe:2.3:a:quarkus:quarkus:*:*:*:*:*:*:*:*
Версия от 3.3.0 (включая) до 3.3.3 (исключая)
Конфигурация 2

Одно из

cpe:2.3:a:redhat:build_of_optaplanner:8.0:*:*:*:*:*:*:*
cpe:2.3:a:redhat:build_of_quarkus:*:*:*:*:text-only:*:*:*
Версия от 2.13.0 (включая) до 2.13.8 (исключая)
cpe:2.3:a:redhat:decision_manager:7.0:*:*:*:*:*:*:*
cpe:2.3:a:redhat:integration_camel_k:*:*:*:*:*:*:*:*
Версия до 1.10.2 (исключая)
cpe:2.3:a:redhat:integration_camel_quarkus:-:*:*:*:*:*:*:*
cpe:2.3:a:redhat:integration_service_registry:-:*:*:*:*:*:*:*
cpe:2.3:a:redhat:jboss_middleware:1:*:*:*:*:*:*:*
cpe:2.3:a:redhat:jboss_middleware_text-only_advisories:1.0:*:*:*:*:middleware:*:*
cpe:2.3:a:redhat:openshift_serverless:-:*:*:*:*:*:*:*
cpe:2.3:a:redhat:openshift_serverless:1.0:*:*:*:*:*:*:*
cpe:2.3:a:redhat:process_automation_manager:7.0:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

Одно из

cpe:2.3:a:redhat:openshift_container_platform:4.10:*:*:*:*:*:*:*
cpe:2.3:a:redhat:openshift_container_platform:4.11:*:*:*:*:*:*:*
cpe:2.3:a:redhat:openshift_container_platform:4.12:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*

EPSS

Процентиль: 57%
0.00348
Низкий

8.1 High

CVSS3

Дефекты

CWE-148
CWE-863

Связанные уязвимости

redhat логотип

CVE-2023-4853

CVSS3: 8.1
redhat
больше 2 лет назад

A flaw was found in Quarkus where HTTP security policies are not sanitizing certain character permutations correctly when accepting requests, resulting in incorrect evaluation of permissions. This issue could allow an attacker to bypass the security policy altogether, resulting in unauthorized endpoint access and possibly a denial of service.

github логотип

GHSA-4f4r-wgv2-jjvg

CVSS3: 8.1
github
больше 2 лет назад

Quarkus HTTP vulnerable to incorrect evaluation of permissions

fstec логотип

BDU:2023-05461

CVSS3: 8.1
fstec
больше 2 лет назад

Уязвимость политики безопасности HTTP Java-фреймворка Quarkus, позволяющая нарушителю обойти ограничения безопасности, получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании

EPSS

Процентиль: 57%
0.00348
Низкий

8.1 High

CVSS3

Дефекты

CWE-148
CWE-863