ГлавнаяБаза уязвимостей БДУ → BDU:2023-08669
7.1высокая

BDU:2023-08669 (CVE-2023-6394)

Уязвимость технологии WebSocket Java-фреймворка Quarkus, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и повысить свои привилегии
Опубликовано: 2023-12-14
Описание

Уязвимость технологии WebSocket Java-фреймворка Quarkus связана с некорректной реализацией последовательности выполняемх действий в результате недостаточного разграничения доступа при обработке запросов GraphQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации и повысить свои привилегии

Затрагиваемое ПО и версии
Red Hat build of Quarkusquarkus (от 2.14.0 до 3.5.3)
Способ устранения

Использование рекомендаций:
Для Quarkus:
https://github.com/quarkusio/quarkus/pull/36961
https://github.com/quarkusio/quarkus/releases/tag/3.5.3
https://github.com/quarkusio/quarkus/commit/25ee3bec78c859806ee4733fa486f630cfb38a87

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-6394

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2023-6394https://bugzilla.redhat.com/show_bug.cgi?id=2252197https://github.com/advisories/GHSA-mvc8-6ffp-jrx5https://github.com/quarkusio/quarkus/pull/36961https://github.com/quarkusio/quarkus/issues/20092
Проверьте безопасность своего сайта и почты → Полная проверка домена