PT-2021-19285 · Vaadin · Com.Vaadin:Flow-Server
Xhelal Likaj
·
Publicado
2021-04-19
·
Atualizado
2021-04-30
·
CVE-2021-31404
CVSS v3.1
4.0
Média
| Vetor | AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
com.vaadin:flow-server, versões 1.0.0 a 1.0.13
com.vaadin:flow-server versões 1.1.0 anteriores à 2.0.0
com.vaadin:flow-server versões 2.0.0 a 2.4.6
com.vaadin:flow-server versões 3.0.0 anteriores à 5.0.0
com.vaadin:flow-server versões 5.0.0 a 5.0.2
Descrição
O problema está relacionado a uma comparação de tempo não constante de tokens CSRF no manipulador de solicitações UIDL, o que permite que um invasor adivinhe um token de segurança por meio de um ataque de temporização.
Recomendações
Para as versões 1.0.0 a 1.0.13 do com.vaadin:flow-server, atualize para uma versão fora desse intervalo.
Para as versões 1.1.0 a 2.0.0 do com.vaadin:flow-server, atualize para a versão 2.0.0 ou posterior.
Para as versões 2.0.0 a 2.4.6 do com.vaadin:flow-server, atualize para uma versão fora desse intervalo.
Para as versões 3.0.0 a 5.0.0 do com.vaadin:flow-server, atualize para a versão 5.0.0 ou posterior.
Para as versões 5.0.0 a 5.0.2 do com.vaadin:flow-server, atualize para uma versão fora desse intervalo.
Correção
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Com.Vaadin:Flow-Server