PT-2021-8844 · Vaadin · Vaadin+1
Publicado
2021-04-19
·
Atualizado
2021-05-05
·
CVE-2018-25007
CVSS v2.0
4.0
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:P/A:N |
Nome do software vulnerável e versões afetadas
com.vaadin:flow-server, versões 1.0.0 a 1.0.5
Vaadin, versões 10.0.0 a 10.0.7
Vaadin, versões 11.0.0 a 11.0.2
Descrição
Uma falha na verificação no manipulador de solicitações UIDL permite que um invasor atualize valores de propriedades de elementos por meio de uma mensagem de sincronização maliciosa.
Recomendações
Para as versões 1.0.0 a 1.0.5 do com.vaadin:flow-server, atualize para uma versão fora do intervalo afetado.
Para as versões do Vaadin 10.0.0 a 10.0.7, atualize para uma versão fora do intervalo afetado.
Para as versões do Vaadin 11.0.0 a 11.0.2, atualize para uma versão fora do intervalo afetado.
Como solução alternativa temporária, considere restringir o acesso ao manipulador de solicitações UIDL até que um patch esteja disponível.
Correção
Improper Check for Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vaadin
Com.Vaadin:Flow-Server