Vulnerabilidad en una petición HTTP en com.vaadin:flow-server (CVE-2021-31412)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
24/06/2021
Última modificación:
25/10/2022
Descripción
Un saneamiento inapropiado de la ruta en la vista RouteNotFoundError predeterminada en com.vaadin:flow-server versiones 1.0.0 hasta 1.0.14 (Vaadin versiones 10.0.0 hasta 10.0.18), versiones 1.1.0 anteriores a 2.0.0 (Vaadin versiones 11 anterior a 14), versiones 2.0.0 hasta 2.6.1 (Vaadin versiones 14.0.0 hasta 14. 6.1), y versiones 3.0.0 hasta 6.0.9 (Vaadin versiones 15.0.0 hasta 19.0.8) permite a un atacante de red enumerar todas las rutas disponibles por medio de una petición HTTP diseñada cuando la aplicación se ejecuta en modo de producción y un controlador personalizado para o NotFoundException es proporcionado
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:vaadin:flow:*:*:*:*:*:*:*:* | 1.0.0 (incluyendo) | 1.0.14 (incluyendo) |
| cpe:2.3:a:vaadin:flow:*:*:*:*:*:*:*:* | 1.1.0 (incluyendo) | 1.4.0 (incluyendo) |
| cpe:2.3:a:vaadin:flow:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.6.1 (incluyendo) |
| cpe:2.3:a:vaadin:flow:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 5.0.0 (incluyendo) |
| cpe:2.3:a:vaadin:flow:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.0.9 (incluyendo) |
| cpe:2.3:a:vaadin:vaadin:*:*:*:*:*:*:*:* | 10.0.0 (incluyendo) | 10.0.18 (incluyendo) |
| cpe:2.3:a:vaadin:vaadin:*:*:*:*:*:*:*:* | 11.0.0 (incluyendo) | 13.0.0 (incluyendo) |
| cpe:2.3:a:vaadin:vaadin:*:*:*:*:*:*:*:* | 14.0.0 (incluyendo) | 14.6.1 (incluyendo) |
| cpe:2.3:a:vaadin:vaadin:*:*:*:*:*:*:*:* | 15.0.0 (incluyendo) | 18.0.0 (incluyendo) |
| cpe:2.3:a:vaadin:vaadin:*:*:*:*:*:*:*:* | 19.0.0 (incluyendo) | 19.0.8 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página