В коннекторе базы данных Debezium обнаружена уязвимость, связанная с внедрением скриптов, из-за которой некоторые параметры не проходят дол…
В коннекторе базы данных Debezium обнаружена уязвимость, связанная с внедрением скриптов, из-за которой некоторые параметры не проходят должную очистку. Эта уязвимость позволяет злоумышленнику отправлять вредоносный запрос для внедрения параметра, который может разрешить просмотр неавторизованных данных.
Продукт некорректно обрабатывает ситуацию, когда ожидаемое количество параметров, полей или аргументов не предоставлено во входных данных, либо когда эти параметры не определены.
https://cwe.mitre.org/data/definitions/233.html →Открыть в коллекции CWE →В обстоятельствах, когда приложение хранит важные данные на стороне клиента в токенах (cookie-файлах, URL, файлах данных и т. п.), этими данными можно манипулировать. Если клиентские или серверные компоненты приложения повторно интерпретируют эти данные как токены аутентификации или данные (например, цены на товары в магазине или информацию о кошельке), то даже непрозрачная манипуляция этими данными может принести результат злоумышленнику. В данном шаблоне злоумышленник подрывает допущение о том, что клиентские токены были надлежащим образом защищены от подделки с помощью шифрования или запутывания.
https://capec.mitre.org/data/definitions/39.html →Открыть в коллекции CAPEC →