Возможена уязвимость раскрытия информации в плагине Vaadin Maven и плагине Vaadin Gradle, которая обнажает полный набор переменных среды в …
Возможена уязвимость раскрытия информации в плагине Vaadin Maven и плагине Vaadin Gradle, которая обнажает полный набор переменных среды в журналах сборки всякий раз, когда процесс сборки интерфейса выходит с ненулевым статусом. Поскольку среда сборки может содержать учетные данные, предоставленные в виде секретов, любая неудачная сборка интерфейса может раскрыть эти секреты в четком тексте в журналах CI и архивных артефактах сборки. Пользователи затронутых версий должны применять следующее смягчение или обновление. Релизы, которые исправили эту проблему, включают: Версия для продукта Ваадин 23.0.0 - 23.6.9 Ваадин 24.0.0 - 24.9.16 Ваадин 24.10.0 - 24.10.3 Ваадин 25.0.0 - 25.0.10 Ваадин 25.1.0 - 25.1.4 Смягчение последствий Обновление до 23.6.10 Обновление до 24.9.17 или новее Обновление до 24.10.4 или новее Обновление до 25.0.11 или новее Обновление до 25.1.5 или новее Обратите внимание, что версии Vaadin 10-13 и 15-22 больше не поддерживаются, и вы должны обновиться до последней версии 23, 24 или 25. ArtifactsMaven координатУравные версииФиксированные версииcom.vaadin:flow-plugin-base23.0.0 - 23.6.10≥23.11com.vaadin:flow-plugin-base24.0.0 - 24.9.17≥9.18com.vaadin:flow-plugin-base24.0. - 24.10.3≥..0.12com.vaadin:flow-mven-plugin-base25.1.0 - 25.1.4≥.25.1.5com.vaadin:flow-maven-plugin23.0.0 - 23.6.10≥3.11.11com.vaadin:flow-maven-plugin24.0.0 - 24.9.17≥.28.com.vaadin:flow-maven-plugin24.plugin25.0.0 - 25.0.11≥25.0.12com.vaadin:flow-maven-plugin25.1.0 - 25.1.4≥.25.1.5com.vaadin:flow-gradle-plugin24.0.0 - 24.9.17≥9.18com.vaadin:flow-gradle-plugin24.0.0 - 24.10..11≥25.0.12com.vaadin:flow-gradle-plugin25.1.0 - 25.1.4≥25.1.5
Продукт формирует сообщение об ошибке, включающее конфиденциальные сведения о его среде, пользователях или связанных данных.
https://cwe.mitre.org/data/definitions/209.html →Открыть в коллекции CWE →Слепое внедрение SQL-кода является следствием недостаточного противодействия внедрению SQL-кода. Хотя подавление сообщений об ошибках базы данных считается надлежащей практикой, одного лишь подавления недостаточно для предотвращения SQL-инъекций. Слепое внедрение SQL-кода — это форма SQL-инъекции, преодолевающая отсутствие сообщений об ошибках. Не имея сообщений об ошибках, которые облегчают SQL-инъекцию, злоумышленник формирует входные строки, зондирующие цель с помощью простых булевых SQL-выражений. Злоумышленник может определить, было ли синтаксически и структурно корректно выполнено внедрение, на основании того, был ли выполнен запрос. Применяя этот метод итеративно, злоумышленник определяет, как и где цель уязвима к SQL-инъекции.
https://capec.mitre.org/data/definitions/7.html →Открыть в коллекции CAPEC →Злоумышленник, осведомлённый о местонахождении приложения (и, возможно, авторизованный для его использования), исследует структуру приложения и оценивает его устойчивость путём отправки запросов и анализа ответов. Нередко это осуществляется посредством отправки вариантов ожидаемых запросов в расчёте на то, что изменённые запросы могут вернуть информацию, выходящую за рамки того, что возвращает ожидаемый набор запросов.
https://capec.mitre.org/data/definitions/54.html →Открыть в коллекции CAPEC →Злоумышленник направляет случайные, некорректные или иным образом неожиданные сообщения целевому приложению и наблюдает за возвращаемыми журналами или сообщениями об ошибках приложения. Злоумышленник изначально не знает, как цель реагирует на отдельные сообщения, однако, перебирая большое количество вариантов сообщений, он может найти вариант, вызывающий желаемое поведение. В данной атаке целью фаззинга является наблюдение за журналом и сообщениями об ошибках приложения, хотя фаззинг цели иногда также может приводить к переходу цели в нестабильное состояние и её аварийному завершению.
https://capec.mitre.org/data/definitions/215.html →Открыть в коллекции CAPEC →Злоумышленник способен эффективно расшифровывать данные, не зная ключа дешифрования, если целевая система раскрывает информацию о том, возникла ли ошибка дополнения при расшифровке зашифртекста. Целевая система, утечку такой информации, становится оракулом дополнения, а злоумышленник может использовать этот оракул для эффективной расшифровки данных без знания ключа дешифрования, выполнив в среднем 128*b обращений к оракулу дополнения (где b — количество байт в блоке зашифртекста). Помимо расшифровки, злоумышленник способен также формировать корректные зашифртексты (то есть выполнять шифрование) с использованием оракула дополнения, не зная ключа шифрования.
https://capec.mitre.org/data/definitions/463.html →Открыть в коллекции CAPEC →