BDU:2024-02450: Уязвимость фреймворка для создания веб-приложений на языке Java Apache Wicket, связанная с подделкой межсайтовых запросов, позволяющая нарушителю осуществить CSRF-атаку

Описание уязвимости Уязвимость фреймворка для создания веб-приложений на языке Java Apache Wicket связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить CSRF-атаку с помощью специально созданной веб-страницы
Вендор Apache Software Foundation
Наименование ПО Apache Wicket
Версия ПО от 9.1.0 до 9.17.0, от 10.0.0-M1 до 10.0.0
Тип ПО Прикладное ПО информационных систем
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Межсайтовая фальсификация запросов, Непоследовательная интерпретация HTTP-запросов ('Контрабанда HTTP-запросов')
Идентификатор типа ошибки CWE-352, CWE-444
Класс уязвимости Уязвимость кода
Дата выявления 19.03.2024
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C
  • CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://lists.apache.org/thread/o825rvjjtmz3qv21ps5k7m2w9193g1lo
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Подмена при взаимодействии
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются