Vaadin
Уязвимости
25
Эксплуатируемые
0
Макс. CVSS
7.8
Макс. EPSS
0.02382
Распределение по критичности
Критический
0
Высокий
8
Средний
12
Низкий
5
Затронутые диапазоны версий
10.0.0–10.0.1410.0.0–10.0.1710.0.0–10.0.1810.0.0–10.0.2310.0.0–10.0.810.0.0–14.14.112.0.0–14.4.1014.0.0–14.4.314.0.0–14.4.414.0.0–14.6.114.0.3–14.5.314.0.6–14.4.414.2.0–14.14.114.8.5–14.8.915.0.0–15.0.515.0.0–18.0.718.0.0–20.0.519.0.0–19.0.47.0.0–7.7.227.0.0–7.7.247.4.0–7.7.208.0.0–8.12.48.0.0–8.14.1≤ 6.4.8
Также сопоставлено как (исходные строки): vaadin-menu-bar,flow-server,vaadin,vaadin-checkbox-flow,flow
Топ уязвимостей
CVE-2021-31411Небезопасное использование временного каталога во внешней функциональности сборки com.vaadin:flow-server версий с 2.0.9 по 2.5.2 (Vaadin с 14.0.3 по Vaadin 14.5.2), с 3.0 до 6.0 (Vaadin 15 до 19) и с 6.0.0 по 6.0.5 (Vaadin с 19.0.0 по 19.0.4) позволяет локальным пользователям внедрять вредоносный код во внешние ресурсы во время перестроения приложений.
CVE-2022-29567Конфигурация по умолчанию компонента TreeGrid использует Object::toString в качестве ключа в клиентской и серверной коммуникации в Vaadin 14.8.5 по 14.8.9, 22.0.6 по 22.0.14, 23.0.0.beta2 по 23.0.8 и 23.1.0.alpha1 по 23.1.0.alpha4, что приводит к потенциальному раскрытию информации о значениях, которые не должны быть доступны на стороне клиента.
CVE-2021-31409Небезопасная проверка RegEx в компоненте EmailValidator в com.vaadin:vaadin-compatibility-server версий с 8.0.0 по 8.12.4 (Vaadin версий с 8.0.0 по 8.12.4) позволяет злоумышленникам вызывать неконтролируемое потребление ресурсов, отправляя вредоносные адреса электронной почты.
CVE-2021-31407Уязвимость в интеграции OSGi в com.vaadin:flow-server версий с 1.2.0 по 2.4.7 (Vaadin с 12.0.0 по 14.4.9) и с 6.0.0 по 6.0.1 (Vaadin 19.0.0) позволяет злоумышленнику получить доступ к классам приложений и ресурсам на сервере через специально созданный HTTP-запрос.
CVE-2021-31405Небезопасная проверка RegEx в компоненте EmailField в com.vaadin:vaadin-text-field-flow версий с 2.0.4 по 2.3.2 (Vaadin с 14.0.6 по 14.4.3) и с 3.0.0 по 4.0.2 (Vaadin с 15.0.0 по 17.0.10) позволяет злоумышленникам вызывать неконтролируемое потребление ресурсов, отправляя вредоносные адреса электронной почты.
CVE-2020-36321Неправильная проверка URL-адресов в обработчике режима разработки в com.vaadin:flow-server версий 2.0.0 по 2.4.1 (Vaadin 14.0.0 по 14.4.2) и 3.0 до 5.0 (Vaadin 15 до 18) позволяет злоумышленнику запрашивать произвольные файлы, хранящиеся вне предполагаемой папки ресурсов интерфейса.
CVE-2020-36320Небезопасная проверка RegEx в классе EmailValidator в com.vaadin:vaadin-server версий 7.0.0 по 7.7.21 (Vaadin 7.0.0 по 7.7.21) позволяет злоумышленникам вызывать неконтролируемое потребление ресурсов, отправляя вредоносные адреса электронной почты.
CVE-2021-31408Вспомогательная функция Authentication.logout() в com.vaadin:flow-client версий с 5.0.0 до 6.0.0 (Vaadin 18) и с 6.0.0 по 6.0.4 (Vaadin с 19.0.0 по 19.0.3) использует неправильный метод HTTP, что в сочетании с защитой Spring Security CSRF позволяет локальным злоумышленникам получать доступ к конечным точкам Fusion после того, как пользователь попытался выйти из системы.
CVE-2023-25499При добавлении невидимых компонентов в пользовательский интерфейс на стороне сервера контент отправляется в браузер в Vaadin версий 10.0.0 - 10.0.22, 11.0.0 - 14.10.0, 15.0.0 - 22.0.28, 23.0.0 - 23.3.12, 24.0.0 - 24.0.5 и 24.1.0.alpha1 - 24.1.0.beta1, что приводит к потенциальному раскрытию информации.
CVE-2020-36319Небезопасная конфигурация ObjectMapper по умолчанию в com.vaadin:flow-server версий 3.0.0 по 3.0.5 (Vaadin 15.0.0 по 15.0.4) может раскрыть конфиденциальные данные, если приложение также использует, например, @RestController.
CVE-2021-33611Отсутствие очистки выходных данных в тестовых источниках в org.webjars.bowergithub.vaadin:vaadin-menu-bar версий 1.0.0 до 1.2.0 (Vaadin 14.0.0 до 14.4.4) позволяет удаленным злоумышленникам выполнять вредоносный JavaScript в браузере, открыв специально созданный URL-адрес.
CVE-2019-25028Отсутствие очистки переменных в компоненте Grid в com.vaadin:vaadin-server версий с 7.4.0 по 7.7.19 (Vaadin с 7.4.0 по 7.7.19) и с 8.0.0 по 8.8.4 (Vaadin с 8.0.0 по 8.8.4) позволяет злоумышленнику внедрять вредоносный JavaScript через неуказанный вектор.
CVE-2019-25027Отсутствие очистки вывода в представлении RouteNotFoundError по умолчанию в com.vaadin:flow-server версий с 1.0.0 по 1.0.10 (Vaadin с 10.0.0 по 10.0.13) и с 1.1.0 по 1.4.2 (Vaadin с 11.0.0 по 13.0.5) позволяет злоумышленнику выполнять вредоносный JavaScript через специально созданный URL.
CVE-2026-2742Уязвимость объездной аутентификации существует в Vaadin 14.0.0 до 14.14.0, 23.0,23.6, 24.0.0 до 24.9.7 и 25.0.0 до 25.0.1, приложениях с использованием Spring Security из-за непоследовательного соответствия шаблонов пути зарезервированных фреймворков.
Доступ к конечной точке /VAADIN без задней косой полосы обходит фильтры безопасности и позволяет пользователям без аутентификации инициировать структуру и создавать сеансы без надлежащего разрешения.
Пользователи затронутых версий, использующих Spring Security, должны обновиться следующим образом: 14,0.0-14.14.0 обновление до 14.14.1, 23.0-23.6.6 до 23.6.7, 24.0 - 24.9.7 до 24.9.8, и 25.0.0-25.0.1 обновление до 25.0.2 или новее.
Обратите внимание, что версии Vaadin 10-13 и 15-22 больше не поддерживаются, и вы должны обновить их до последней версии 14, 23, 24, 25.
CVE-2021-31412Неправильная очистка пути в представлении RouteNotFoundError по умолчанию в com.vaadin:flow-server версий с 1.0.0 по 1.0.14 (Vaadin с 10.0.0 по 10.0.18), с 1.1.0 до 2.0.0 (Vaadin 11 до 14), с 2.0.0 по 2.6.1 (Vaadin с 14.0.0 по 14.6.1) и с 3.0.0 по 6.0.9 (Vaadin с 15.0.0 по 19.0.8) позволяет сетевому злоумышленнику перечислять все доступные маршруты через специально созданный HTTP-запрос, когда приложение работает в производственном режиме и не предоставлен пользовательский обработчик для NotFoundException.
CVE-2023-25500Возможно раскрытие информации в Vaadin версий 10.0.0 - 10.0.23, 11.0.0 - 14.10.1, 15.0.0 - 22.0.28, 23.0.0 - 23.3.13, 24.0.0 - 24.0.6, 24.1.0.alpha1 - 24.1.0.rc2, что приводит к потенциальному раскрытию информации об именах классов и методов в ответах RPC путем отправки измененных запросов.
CVE-2021-33609Отсутствие проверки в классе DataCommunicator в com.vaadin:vaadin-server версий 8.0.0 до 8.14.0 (Vaadin 8.0.0 до 8.14.0) позволяет аутентифицированному сетевому злоумышленнику вызвать исчерпание кучи, запросив слишком много строк данных.
CVE-2021-33605Неправильная проверка в CheckboxGroup в com.vaadin:vaadin-checkbox-flow версий 1.2.0 до 2.0.0 (Vaadin 12.0.0 до 14.0.0), 2.0.0 до 3.0.0 (Vaadin 14.0.0 до 14.5.0), 3.0.0 до 4.0.1 (Vaadin 15.0.0 до 17.0.11), 14.5.0 до 14.6.7 (Vaadin 14.5.0 до 14.6.7) и 18.0.0 до 20.0.5 (Vaadin 18.0.0 до 20.0.5) позволяет злоумышленникам изменять значение отключенного Checkbox внутри включенного компонента CheckboxGroup через неуказанные векторы.
CVE-2018-25007Отсутствующая проверка в обработчике запросов UIDL в com.vaadin:flow-server версий 1.0.0–1.0.5 (Vaadin 10.0.0–10.0.7 и 11.0.0–11.0.2) позволяет злоумышленнику обновлять значения свойств элемента через специально созданное сообщение синхронизации.
CVE-2011-0509Уязвимость межсайтового скриптинга (XSS) в Vaadin до 6.4.9 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неизвестные векторы, связанные с индексной страницей.
CVE-2021-33604Ошибка кодирования URL в обработчике режима разработки в com.vaadin:flow-server версий 2.0.0 до 2.6.1 (Vaadin 14.0.0 до 14.6.1), 3.0.0 до 6.0.9 (Vaadin 15.0.0 до 19.0.8) позволяет локальному пользователю выполнять произвольный код JavaScript, открыв специально созданный URL-адрес в браузере.
CVE-2021-31406Сравнение токенов CSRF, не занимающее постоянного времени, в обработчике запросов конечной точки в com.vaadin:flow-server версий с 3.0.0 по 5.0.3 (Vaadin с 15.0.0 по 18.0.6) и com.vaadin:fusion-endpoint версии 6.0.0 (Vaadin 19.0.0) позволяет злоумышленнику угадать токен безопасности для конечных точек Fusion с помощью атаки по времени.
CVE-2021-31404Сравнение токенов CSRF, не занимающее постоянного времени, в обработчике запросов UIDL в com.vaadin:flow-server версий с 1.0.0 по 1.0.13 (Vaadin с 10.0.0 по 10.0.16), с 1.1.0 до 2.0.0 (Vaadin 11 до 14), с 2.0.0 по 2.4.6 (Vaadin с 14.0.0 по 14.4.6), с 3.0.0 до 5.0.0 (Vaadin 15 до 18) и с 5.0.0 по 5.0.2 (Vaadin с 18.0.0 по 18.0.5) позволяет злоумышленнику угадать токен безопасности с помощью атаки по времени.
CVE-2021-31403Сравнение токенов CSRF, не занимающее постоянного времени, в обработчике запросов UIDL в com.vaadin:vaadin-server версий с 7.0.0 по 7.7.23 (Vaadin с 7.0.0 по 7.7.23) и с 8.0.0 по 8.12.2 (Vaadin с 8.0.0 по 8.12.2) позволяет злоумышленнику угадать токен безопасности с помощью атаки по времени.
CVE-2026-2741Специально созданные архивы ZIP могут избежать предполагаемого каталога извлечения во время загрузки и извлечения Node.js в Vaain 14.2.0 до 14.14.0, с 15.0.0 до 23.6.6, 24.0 до 24.9.8 и 25.0.0 до 25.0.2.
Процесс сборки Vaain может автоматически загружать и извлекать Node.js, если он не установлен локально. Если злоумышленник может перехватить или контролировать эту загрузку с помощью DNS-угона, атаки MITM, скомпрометированного зеркала или атаки цепочки поставок, они могут обслуживать вредоносный архив, содержащий последовательности прохождения пути, которые записывают файлы за пределами предполагаемого каталога извлечения.
Пользователи затронутых версий должны использовать глобально предустановленную версию Node.js, совместимую с их версией Vaadin, или обновить следующим образом: 14.2.0-14.14.0 до 14.14.1, 15.0-23.6.6 до 23.6.7, 24.0.0-24.9.9 и 25.0-25.0,0-25.0.3 или новее.
Обратите внимание, что версии Vaadin 10-13 и 15-22 больше не поддерживаются, и вы должны обновить их до последней версии 14, 23, 24, 25.