Уязвимость политики безопасности HTTP Java-фреймворка Quarkus связана с недостатками разграничения доступа в результате непринятия мер по нейтрализации ведущих символов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности, получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
Использование рекомендаций:
https://access.redhat.com/security/cve/cve-2023-4853
Компенсирующие меры:
Используйте параметр deny для следующих путей:
deny: /*
authenticated: /services/*
или
deny: /services/*
roles-allowed: /services/rbac/*
| Балл | 7.6 — высокая опасность |