PT-2024-2472 · Apache · Apache Wicket
Jo Theunis
·
Publicado
2024-03-19
·
Atualizado
2025-06-27
·
CVE-2024-27439
CVSS v2.0
7.6
Alta
| Vetor | AV:N/AC:H/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões 9.1.0 a 9.16.0 do Apache Wicket
Versões de marco do Apache Wicket para a série 10.0
Descrição
O problema está relacionado a uma contornamento da proteção CSRF no Apache Wicket devido a um erro na avaliação dos cabeçalhos de metadados de busca. Isso poderia permitir que um invasor remoto realizasse um ataque CSRF usando uma página da web especialmente criada. O número estimado de dispositivos potencialmente afetados não foi especificado. Não há informações sobre incidentes reais em que esse problema tenha sido explorado.
Recomendações
Para as versões 9.1.0 a 9.16.0 do Apache Wicket, atualize para a versão 9.17.0.
Para as versões intermediárias do Apache Wicket da série 10.0, atualize para a versão 10.0.0.
Como solução temporária, considere restringir o acesso a operações confidenciais que dependem da proteção CSRF até que um patch seja aplicado.
Correção
HTTP Request/Response Smuggling
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Wicket