V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-7860Низкий

Возможена уязвимость раскрытия информации в плагине Vaadin Maven и плагине Vaadin Gradle, которая обнажает полный набор переменных среды в …

CVSS
1.6
Низкий
EPSS
0.00
p1
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Возможена уязвимость раскрытия информации в плагине Vaadin Maven и плагине Vaadin Gradle, которая обнажает полный набор переменных среды в журналах сборки всякий раз, когда процесс сборки интерфейса выходит с ненулевым статусом. Поскольку среда сборки может содержать учетные данные, предоставленные в виде секретов, любая неудачная сборка интерфейса может раскрыть эти секреты в четком тексте в журналах CI и архивных артефактах сборки. Пользователи затронутых версий должны применять следующее смягчение или обновление. Релизы, которые исправили эту проблему, включают: Версия для продукта Ваадин 23.0.0 - 23.6.9 Ваадин 24.0.0 - 24.9.16 Ваадин 24.10.0 - 24.10.3 Ваадин 25.0.0 - 25.0.10 Ваадин 25.1.0 - 25.1.4 Смягчение последствий Обновление до 23.6.10 Обновление до 24.9.17 или новее Обновление до 24.10.4 или новее Обновление до 25.0.11 или новее Обновление до 25.1.5 или новее Обратите внимание, что версии Vaadin 10-13 и 15-22 больше не поддерживаются, и вы должны обновиться до последней версии 23, 24 или 25. ArtifactsMaven координатУравные версииФиксированные версииcom.vaadin:flow-plugin-base23.0.0 - 23.6.10≥23.11com.vaadin:flow-plugin-base24.0.0 - 24.9.17≥9.18com.vaadin:flow-plugin-base24.0. - 24.10.3≥..0.12com.vaadin:flow-mven-plugin-base25.1.0 - 25.1.4≥.25.1.5com.vaadin:flow-maven-plugin23.0.0 - 23.6.10≥3.11.11com.vaadin:flow-maven-plugin24.0.0 - 24.9.17≥.28.com.vaadin:flow-maven-plugin24.plugin25.0.0 - 25.0.11≥25.0.12com.vaadin:flow-maven-plugin25.1.0 - 25.1.4≥.25.1.5com.vaadin:flow-gradle-plugin24.0.0 - 24.9.17≥9.18com.vaadin:flow-gradle-plugin24.0.0 - 24.10..11≥25.0.12com.vaadin:flow-gradle-plugin25.1.0 - 25.1.4≥25.1.5

Теги · CWE
CWE-209
CAPEC-7
CAPEC-54
CAPEC-215
CAPEC-463
Вектор CVSS
CVSS:4.0/AV:L/AC:H/AT:P/PR:L/UI:P/VC:H/VI:N/VA:N/SC:H/SI:H/SA:N/E:U/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:N/AU:N/R:A/V:C/RE:L/U:Green
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: L
Локальная (L)
Сложность атаки
AC: H
Высокая (H)
Требования к атаке
AT: P
Present
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: P
Passive
Конфиденциальность уязвимой системы
VC: H
Высокое (H)
Целостность уязвимой системы
VI: N
Отсутствует (N)
Доступность уязвимой системы
VA: N
Отсутствует (N)
Конфиденциальность последующей системы
SC: H
Высокое (H)
Целостность последующей системы
SI: H
Высокое (H)
Доступность последующей системы
SA: N
Отсутствует (N)
Зрелость эксплойт-кода
E: U
Unreported
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: N
N
au
AU: N
N
r
R: A
A
v
V: C
C
re
RE: L
L
u
U: Green
Green
Индикаторы эксплуатации
EPSS
0.001 · p1
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Нет уязвимостей под заданные фильтры.