PT-2021-19284 · Vaadin · Vaadin-Server

Xhelal Likaj

·

Publicado

2021-04-19

·

Atualizado

2021-04-30

·

CVE-2021-31403

CVSS v3.1

4.0

Média

VetorAV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
com.vaadin:vaadin-server, versões 7.0.0 a 7.7.23
com.vaadin:vaadin-server, versões 8.0.0 a 8.12.2
Descrição
O problema está relacionado a uma comparação de tokens CSRF com tempo não constante no manipulador de solicitações UIDL. Isso permite que um invasor adivinhe um token de segurança por meio de um ataque de temporização.
Recomendações
Para as versões 7.0.0 a 7.7.23, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 8.0.0 a 8.12.2, atualize para uma versão fora desse intervalo para mitigar o risco.
Como solução temporária, considere implementar uma comparação de tempo constante para tokens CSRF no manipulador de solicitações UIDL até que um patch esteja disponível.

Correção

Side Channel Attack

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-208CWE-203

Identificadores relacionados

CVE-2021-31403
GHSA-75XC-QVXH-27F8

Produtos afetados

Vaadin-Server