Informazioni sul CVE-2021-22696

OAuth 2 authorization service vulnerable to DDos attacks

CWE ID: CWE-918

Base Score (CVSS): N/A

CVE: CVE-2021-22696

Descrizione: CXF supports (via JwtRequestCodeFilter) passing OAuth 2 parameters via a JWT token as opposed to query parameters (see: The OAuth 2.0 Authorization Framework: JWT Secured Authorization Request (JAR)). Instead of sending a JWT token as a “request” parameter, the spec also supports specifying a URI from which to retrieve a JWT token from via the “request_uri” parameter. CXF was not validating the “request_uri” parameter (apart from ensuring it uses “https) and was making a REST request to the parameter in the request to retrieve a token. This means that CXF was vulnerable to DDos attacks on the authorization server, as specified in section 10.4.1 of the spec. This issue affects Apache CXF versions prior to 3.4.3; Apache CXF versions prior to 3.3.10.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica Valore Significato Descrizione

Riferimenti esterni

Prodotti interessati

  • Apache Software Foundation – Apache CXF

Relazioni con altri prodotti

Produttore:Apache Software Foundation
Prodotto: Apache CXF
Anno: 2021
CWE: CWE-918
CVSS: 0.0

Ulteriori risorse disponibili