CVE-2023-49104

Опубликовано: 21 нояб. 2023

Источник: nvd

CVSS3: 8.7

CVSS3: 6.1

EPSS Низкий

Описание

An issue was discovered in ownCloud owncloud/oauth2 before 0.6.1, when Allow Subdomains is enabled. An attacker is able to pass in a crafted redirect-url that bypasses validation, and consequently allows an attacker to redirect callbacks to a Top Level Domain controlled by the attacker.

Ссылки

https://owncloud.com/security-advisories/subdomain-validation-bypass/
Vendor Advisory
https://owncloud.org/security
Vendor Advisory
https://owncloud.com/security-advisories/subdomain-validation-bypass/
Vendor Advisory
https://owncloud.org/security
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:owncloud:oauth2:*:*:*:*:*:*:*:*

Версия до 0.6.1 (исключая)

EPSS

Процентиль: 18%

0.00058

Низкий

8.7 High

CVSS3

6.1 Medium

CVSS3

Дефекты

CWE-601

Связанные уязвимости

GHSA-phfx-x4q3-w99v

CVSS3: 8.7

github

около 2 лет назад

BDU:2023-08351

CVSS3: 8.7

fstec

около 2 лет назад

Уязвимость конфигурации «Allow Subdomains» платформы авторизации OAuth2, позволяющая нарушителю обойти ограничения безопасности и перенаправить пользователя на произвольный URL-адрес

EPSS

Процентиль: 18%

0.00058

Низкий

8.7 High

CVSS3

6.1 Medium

CVSS3

Дефекты

CWE-601