BDU:2023-08669

BDU

High

Уязвимость технологии WebSocket Java-фреймворка Quarkus связана с некорректной реализацией последовательности выполняемх действий в результ…

CVSS

7.4

High

EPSS

0.00

Published

2023-01-01

Updated

2023-01-01

Description

Уязвимость технологии WebSocket Java-фреймворка Quarkus связана с некорректной реализацией последовательности выполняемх действий в результате недостаточного разграничения доступа при обработке запросов GraphQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации и повысить свои привилегии

Tags · CWE

Pre-auth

Affected products

Red hat inc. Red hat build of quarkusСообщество свободного программного обеспечения Quarkus

CVSS vector

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

Timeline

2023-01-01

Published

2023-01-01

Updated

CVSS 3.1 breakdown

Attack Vector

AV: N

Network (N)

Attack Complexity

AC: H

High (H)

Privileges Required

PR: N

None (N)

User Interaction

UI: N

None (N)

Scope

S: U

Unchanged (U)

Confidentiality Impact

C: H

High (H)

Integrity Impact

I: H

High (H)

Availability Impact

A: N

None (N)

Exploit indicators

EPSS

0.000 · p0

Known exploited (KEV)

Known exploits — Сканер-ВС

No Сканер-ВС checks registered for this vulnerability yet.

Affected software

Product	Vendor	Status
red hat build of quarkus	red hat inc.	Tracked
quarkus	сообщество свободного программного обеспечения	Tracked

Source databases

BDU

Related vulnerabilities

CVE-2023-6394

External references

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-6394@https://access.redhat.com/security/cve/cve-2023-6394@https://bugzilla.redhat.com/show_bug.cgi?id=2252197@https://github.com/advisories/GHSA-mvc8-6ffp-jrx5@https://github.com/quarkusio/quarkus/pull/36961@https://github.com/quarkusio/quarkus/issues/20092