PT-2021-19287 · Vaadin · Com.Vaadin:Flow-Server+1
Xhelal Likaj
·
Publicado
2021-04-19
·
Atualizado
2021-04-30
·
CVE-2021-31406
CVSS v3.1
4.0
Média
| Vetor | AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
com.vaadin:flow-server, versões 3.0.0 a 5.0.3
com.vaadin:fusion-endpoint, versão 6.0.0
Descrição
O problema está relacionado a uma comparação de tempo não constante de tokens CSRF no manipulador de solicitações do endpoint. Isso permite que um invasor adivinhe um token de segurança para endpoints Fusion por meio de um ataque de temporização.
Recomendações
Para as versões 3.0.0 a 5.0.3 do com.vaadin:flow-server, atualize para uma versão fora desse intervalo para mitigar o risco.
Para a versão 6.0.0 do com.vaadin:fusion-endpoint, atualize para uma versão diferente da 6.0.0 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao manipulador de solicitações do endpoint vulnerável até que um patch esteja disponível.
Correção
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Com.Vaadin:Flow-Server
Com.Vaadin:Fusion-Endpoint