V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
К каталогу
CVE-2019-11269
CVE
СреднийПодтвержденаЭксплойт есть

Spring Security OAuth версии 2.3 до 2.3.6, 2.2 до 2.2.5, 2.1 до 2.1.5 и 2.0 до 2.0.18, а также более старые неподдерживаемые версии могут б…

CVSS
5.3
Средний
EPSS
0.09
p94
Опубликовано
2019-01-01
Обновлено
2019-01-01
Описание

Spring Security OAuth версии 2.3 до 2.3.6, 2.2 до 2.2.5, 2.1 до 2.1.5 и 2.0 до 2.0.18, а также более старые неподдерживаемые версии могут быть подвержены атаке с открытым редиректором, которая может привести к утечке кода авторизации. Злонамеренный пользователь или злоумышленник может создать запрос к конечной точке авторизации, используя тип предоставления кода авторизации, и указать манипулированный URI перенаправления через параметр redirect_uri. Это может привести к тому, что сервер авторизации перенаправит пользовательский агент владельца ресурса на URI, контролируемый злоумышленником, с просочившимся кодом авторизации.

Теги · CWE
Без аутентификацииОткрытый редирект
CWE-601
CAPEC-178
Затронутые продукты
Banking_corporate_lending
Вектор CVSS
CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N
Хронология
2019-01-01
Опубликована
2019-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: R
Требуется (R)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.089 · p94
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
47000
exploitdb · https://www.exploit-db.com/exploits/47000
Enterprise
Затронутые продукты
Oracle
Banking Corporate Lending
Pivotal Software
Spring Security Oauth
ПродуктВендорСтатус
banking_corporate_lending*Отслеживается
spring_security_oauth*Отслеживается
Источники данных
CVE
Связанные уязвимости
BDU:2021-01012