PT-2021-19289 · Vaadin · Com.Vaadin:Flow-Client

Publicado

2021-04-22

·

Atualizado

2021-05-04

·

CVE-2021-31408

CVSS v3.1

6.3

Média

VetorAV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N
Nome do software vulnerável e versões afetadas
com.vaadin:flow-client, versões 5.0.0 a 6.0.4
Descrição
O helper Authentication.logout() em com.vaadin:flow-client utiliza um método HTTP incorreto, o que, em combinação com a proteção CSRF do Spring Security, permite que invasores locais acessem endpoints do Fusion após o usuário tentar fazer logout.
Recomendações
Para as versões 5.0.0 a 6.0.4, considere desativar o helper Authentication.logout() até que uma correção esteja disponível para impedir que invasores locais acessem os endpoints do Fusion após o usuário fazer logout.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Insufficient Session Expiration

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-613CWE-287

Identificadores relacionados

CVE-2021-31408
GHSA-6HGR-2G6Q-3RMC
GHSA-MR8H-J9CV-4M8H

Produtos afetados

Com.Vaadin:Flow-Client