В Eclipse Glassfish версий до 7.0.17 HTTP-параметр Host может привести к перенаправлению веб-приложения на указанный URL-адрес, когда запро…
В Eclipse Glassfish версий до 7.0.17 HTTP-параметр Host может привести к перенаправлению веб-приложения на указанный URL-адрес, когда запрошенный эндпоинт — '/management/domain'. Изменив значение URL-адреса на вредоносный сайт, злоумышленник может успешно запустить фишинговую аферу и украсть учетные данные пользователя.
Продукт некорректно обрабатывает ситуацию, когда ожидаемое количество параметров, полей или аргументов не предоставлено во входных данных, либо когда эти параметры не определены.
https://cwe.mitre.org/data/definitions/233.html →Открыть в коллекции CWE →В обстоятельствах, когда приложение хранит важные данные на стороне клиента в токенах (cookie-файлах, URL, файлах данных и т. п.), этими данными можно манипулировать. Если клиентские или серверные компоненты приложения повторно интерпретируют эти данные как токены аутентификации или данные (например, цены на товары в магазине или информацию о кошельке), то даже непрозрачная манипуляция этими данными может принести результат злоумышленнику. В данном шаблоне злоумышленник подрывает допущение о том, что клиентские токены были надлежащим образом защищены от подделки с помощью шифрования или запутывания.
https://capec.mitre.org/data/definitions/39.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| glassfish | * | Отслеживается |