BDU:2024-02450: Уязвимость фреймворка для создания веб-приложений на языке Java Apache Wicket, связанная с подделкой межсайтовых запросов, позволяющая нарушителю осуществить CSRF-атаку

Описание уязвимости

Уязвимость фреймворка для создания веб-приложений на языке Java Apache Wicket связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить CSRF-атаку с помощью специально созданной веб-страницы

Вендор

Apache Software Foundation

Наименование ПО

Apache Wicket

Версия ПО

  • от 9.1.0 до 9.17.0
  • от 10.0.0-M1 до 10.0.0

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Межсайтовая фальсификация запросов, Непоследовательная интерпретация HTTP-запросов ('Контрабанда HTTP-запросов')

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

19.03.2024

Базовый вектор уязвимости

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://lists.apache.org/thread/o825rvjjtmz3qv21ps5k7m2w9193g1lo

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Подмена при взаимодействии

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения