CVE-2021-32792

Опубликовано: 24 июл. 2021

Источник: redhat

CVSS3: 6.1

EPSS Низкий

Описание

mod_auth_openidc is an authentication/authorization module for the Apache 2.x HTTP server that functions as an OpenID Connect Relying Party, authenticating users against an OpenID Connect Provider. In mod_auth_openidc before version 2.4.9, there is an XSS vulnerability in when using OIDCPreservePost On.

A flaw was found in mod_auth_openidc. When mod_auth_openidc is configured with OIDCPreservePost On it is possible to trigger a cross site scripting(XSS) vulnerability that could be used by a remote attacker to execute code on the browser of the victim user. The highest threat from this flaw is to data confidentiality and integrity.

Отчет

This issue did not affect the versions of mod_auth_openidc as shipped with Red Hat Enterprise Linux 7 as they did not include support for OIDCPreservePost option.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux 7	mod_auth_openidc	Not affected
Red Hat Enterprise Linux 9	mod_auth_openidc	Not affected
Red Hat Enterprise Linux 8	mod_auth_openidc	Fixed	RHSA-2022:1823	10.05.2022

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-79

https://bugzilla.redhat.com/show_bug.cgi?id=1986397mod_auth_openidc: XSS when using OIDCPreservePost On

EPSS

Процентиль: 35%

0.00144

Низкий

6.1 Medium

CVSS3

Связанные уязвимости

CVE-2021-32792

CVSS3: 3.1

ubuntu

около 4 лет назад

CVE-2021-32792

CVSS3: 3.1

nvd

около 4 лет назад

CVE-2021-32792

CVSS3: 6.1

msrc

больше 3 лет назад

Описание отсутствует

CVE-2021-32792

CVSS3: 3.1

debian

около 4 лет назад

mod_auth_openidc is an authentication/authorization module for the Apa ...

BDU:2022-01785

CVSS3: 6.1

fstec

около 4 лет назад

Уязвимость модуля аутентификации и авторизации для Apache 2.x HTTP server Mod_auth_openidc, позволяющая нарушителю оказать воздействие на целостность данных

EPSS

Процентиль: 35%

0.00144

Низкий

6.1 Medium

CVSS3