V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2025-61673
ANC
Высокий

Карапасе является открытой реализацией Кафки СТЮ и Схема регистрации с открытым исходным кодом. Версии 5.0.0 и 5.0.1 содержат уязвимость об…

CVSS
8.6
Высокий
EPSS
0.00
p28
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

Карапасе является открытой реализацией Кафки СТЮ и Схема регистрации с открытым исходным кодом. Версии 5.0.0 и 5.0.1 содержат уязвимость обхода аутентификации при сконфигурации для использования аутентификации токена для использования аутентификации токена для подшипника OAuth 2.0. Если запрос отправляется без заголовка Авторизации, логика проверки токена полностью пропускается, позволяя неаутентифицированному пользователю читать и писать конечным точкам реестра схемы, которые в противном случае должны быть защищены. Это фактически делает механизм аутентификации OAuth неэффективным. Эта проблема исправлена в версии 5.0.2.

Теги · CWE
Без аутентификацииОбход аутентификации
CWE-288
CAPEC-127
CAPEC-665
Затронутые продукты
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:L
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: L
Низкое (L)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: L
Низкое (L)
Индикаторы эксплуатации
EPSS
0.004 · p28
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается