PT-2021-19288 · Vaadin · Com.Vaadin:Flow-Server
Mstahvo
·
Publicado
2021-04-19
·
Atualizado
2022-08-12
·
CVE-2021-31407
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
com.vaadin:flow-server, versões 1.2.0 a 2.4.7
com.vaadin:flow-server, versões 6.0.0 a 6.0.1
Descrição
A vulnerabilidade permite que um invasor acesse classes e recursos do aplicativo no servidor por meio de uma solicitação HTTP maliciosa. Isso se deve a uma vulnerabilidade na integração OSGi no com.vaadin:flow-server.
Recomendações
Para as versões 1.2.0 a 2.4.7 do com.vaadin:flow-server, atualize para uma versão fora desse intervalo para resolver o problema.
Para as versões 6.0.0 a 6.0.1 do com.vaadin:flow-server, atualize para uma versão fora desse intervalo para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso a classes e recursos confidenciais do aplicativo no servidor até que um patch esteja disponível.
Correção
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Com.Vaadin:Flow-Server