ГлавнаяБаза уязвимостей БДУ → BDU:2023-05461
7.6высокая

BDU:2023-05461 (CVE-2023-4853)

Уязвимость политики безопасности HTTP Java-фреймворка Quarkus, позволяющая нарушителю обойти ограничения безопасности, получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
Опубликовано: 2023-09-12
Описание

Уязвимость политики безопасности HTTP Java-фреймворка Quarkus связана с недостатками разграничения доступа в результате непринятия мер по нейтрализации ведущих символов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности, получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Process Automation (7)Red Hat build of QuarkusRed Hat Integration Camel KRed Hat Integration Service RegistryRed Hat Integration Camel QuarkusDecision Manager (7)OpenShift ServerlessRed Hat build of OptaPlanner (8)
Способ устранения

Использование рекомендаций:
https://access.redhat.com/security/cve/cve-2023-4853

Компенсирующие меры:
Используйте параметр deny для следующих путей:
deny: /*
authenticated: /services/*
или
deny: /services/*
roles-allowed: /services/rbac/*

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://vuldb.com/ru/?id.239288https://access.redhat.com/security/cve/cve-2023-4853https://bugzilla.redhat.com/show_bug.cgi?id=2238034https://access.redhat.com/security/vulnerabilities/RHSB-2023-002
Проверьте безопасность своего сайта и почты → Полная проверка домена