中危 HTTP 安全策略绕过 (CVE-2023-4853)

CVE编号

CVE-2023-4853

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-09-20

漏洞描述

A flaw was found in Quarkus where HTTP security policies are not sanitizing certain character permutations correctly when accepting requests, resulting in incorrect evaluation of permissions. This issue could allow an attacker to bypass the security policy altogether, resulting in unauthorized endpoint access and possibly a denial of service.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://access.redhat.com/errata/RHSA-2023:5170
https://access.redhat.com/errata/RHSA-2023:5310
https://access.redhat.com/errata/RHSA-2023:5337
https://access.redhat.com/errata/RHSA-2023:5446
https://access.redhat.com/errata/RHSA-2023:5479
https://access.redhat.com/errata/RHSA-2023:5480
https://access.redhat.com/errata/RHSA-2023:6107
https://access.redhat.com/errata/RHSA-2023:6112
https://access.redhat.com/security/cve/CVE-2023-4853
https://access.redhat.com/security/vulnerabilities/RHSB-2023-002
https://bugzilla.redhat.com/show_bug.cgi?id=2238034

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	quarkus	quarkus	*		Up to (excluding) 2.16.11
	运行在以下环境
	应用	quarkus	quarkus	*	From (including) 3.2.0	Up to (excluding) 3.2.6
	运行在以下环境
	应用	quarkus	quarkus	*	From (including) 3.3.0	Up to (excluding) 3.3.3
	运行在以下环境
	应用	redhat	build_of_optaplanner	8.0	-
	运行在以下环境
	应用	redhat	build_of_quarkus	*	From (including) 2.13.0	Up to (excluding) 2.13.8
	运行在以下环境
	应用	redhat	decision_manager	7.0	-
	运行在以下环境
	应用	redhat	integration_camel_k	*		Up to (excluding) 1.10.2
	运行在以下环境
	应用	redhat	integration_camel_quarkus	-	-
	运行在以下环境
	应用	redhat	integration_service_registry	-	-
	运行在以下环境
	应用	redhat	openshift_serverless	-	-
	运行在以下环境
	应用	redhat	process_automation_manager	7.0	-

阿里云评分 6.7

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 全局影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-863	授权机制不正确

Exp相关链接

- avd.aliyun.com