Vulnerabilidad en la autenticación FORM de un ID de sesión en la URL en WildFly Elytron (CVE-2020-10714)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/09/2020
Última modificación:
08/11/2022
Descripción
Se encontró un fallo en versión 1.11.3.Final y anteriores de WildFly Elytron. Cuando se usa la autenticación FORM de WildFly Elytron con un ID de sesión en la URL, un atacante podría llevar a cabo un ataque de fijación de sesión. La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.10
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:redhat:wildfly_elytron:*:*:*:*:*:*:*:* | 1.11.3 (excluyendo) | |
| cpe:2.3:a:redhat:codeready_studio:12.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:descision_manager:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:jboss_fuse:7.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:process_automation:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:oncommand_insight:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página