CVE-2023-6394

Опубликовано: 09 дек. 2023

Источник: nvd

CVSS3: 7.4

CVSS3: 9.1

EPSS Низкий

Описание

A flaw was found in Quarkus. This issue occurs when receiving a request over websocket with no role-based permission specified on the GraphQL operation, Quarkus processes the request without authentication despite the endpoint being secured. This can allow an attacker to access information and functionality outside of normal granted API permissions.

Ссылки

https://access.redhat.com/errata/RHSA-2023:7612
https://access.redhat.com/errata/RHSA-2023:7700
https://access.redhat.com/security/cve/CVE-2023-6394
Vendor Advisory
https://bugzilla.redhat.com/show_bug.cgi?id=2252197
Issue Tracking
https://access.redhat.com/errata/RHSA-2023:7612
https://access.redhat.com/security/cve/CVE-2023-6394
Vendor Advisory
https://bugzilla.redhat.com/show_bug.cgi?id=2252197
Issue Tracking

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:quarkus:quarkus:*:*:*:*:*:*:*:*

Версия до 3.6.0 (исключая)

Конфигурация 2

cpe:2.3:a:redhat:build_of_quarkus:-:*:*:*:*:*:*:*

EPSS

Процентиль: 65%

0.00488

Низкий

7.4 High

CVSS3

9.1 Critical

CVSS3

Дефекты

CWE-862

Связанные уязвимости

CVE-2023-6394

CVSS3: 7.4

redhat

около 2 лет назад

GHSA-mvc8-6ffp-jrx5

CVSS3: 7.4

github

около 2 лет назад

Authorization bypass in Quarkus

BDU:2023-08669

CVSS3: 7.4

fstec

около 2 лет назад

Уязвимость технологии WebSocket Java-фреймворка Quarkus, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и повысить свои привилегии

EPSS

Процентиль: 65%

0.00488

Низкий

7.4 High

CVSS3

9.1 Critical

CVSS3

Дефекты

CWE-862