Page 2 of 8 results (0.011 seconds)

CVSS: 4.0EPSS: 0%CPEs: 10EXPL: 0

Non-constant-time comparison of CSRF tokens in UIDL request handler in com.vaadin:flow-server versions 1.0.0 through 1.0.13 (Vaadin 10.0.0 through 10.0.16), 1.1.0 prior to 2.0.0 (Vaadin 11 prior to 14), 2.0.0 through 2.4.6 (Vaadin 14.0.0 through 14.4.6), 3.0.0 prior to 5.0.0 (Vaadin 15 prior to 18), and 5.0.0 through 5.0.2 (Vaadin 18.0.0 through 18.0.5) allows attacker to guess a security token via timing attack. La comparación non-constant-time de tokens CSRF en el manejador de peticiones UIDL en com.vaadin:flow-server versiones 1.0.0 hasta 1.0.13 (Vaadin versiones 10.0.0 hasta 10.0.16), versiones 1.1.0 anteriores a 2.0.0 (Vaadin versiones 11 anteriores a 14), versiones 2.0.0 hasta 2.4.6 (Vaadin versiones 14.0.0 hasta 14.4.6), versiones 3.0.0 anteriores a 5.0.0 (Vaadin versiones 15 anteriores a 18) y versiones 5.0.0 hasta 5.0.2 (Vaadin versiones 18.0.0 hasta 18.0.5), permite al atacante adivinar un token de seguridad por medio de un ataque de sincronización • https://github.com/vaadin/flow/pull/9875 https://vaadin.com/security/cve-2021-31404 • CWE-203: Observable Discrepancy CWE-208: Observable Timing Discrepancy •

CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0

Missing output sanitization in default RouteNotFoundError view in com.vaadin:flow-server versions 1.0.0 through 1.0.10 (Vaadin 10.0.0 through 10.0.13), and 1.1.0 through 1.4.2 (Vaadin 11.0.0 through 13.0.5) allows attacker to execute malicious JavaScript via crafted URL Una falta de un saneamiento de salida en la visualización predeterminada de la función RouteNotFoundError en com.vaadin:flow-server versiones 1.0.0 hasta 1.0.10 (Vaadin versiones 10.0.0 hasta 10.0.13) y versiones 1.1.0 hasta 1.4.2 (Vaadin versiones 11.0.0 hasta 13.0. 5), permite al atacante ejecutar JavaScript malicioso por medio de una URL diseñada • https://github.com/vaadin/flow/pull/5498 https://vaadin.com/security/cve-2019-25027 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-81: Improper Neutralization of Script in an Error Message Web Page •

CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0

Cross-site scripting (XSS) vulnerability in the errorAction method in the ActionController base class in TYPO3 Flow (formerly FLOW3) 1.1.x before 1.1.1 and 2.0.x before 2.0.1 allows remote attackers to inject arbitrary web script or HTML via unspecified input, which is returned in an error message. Vulnerabilidad de tipo cross-site scripting (XSS) en el método errorAction en la clase base ActionController en TYPO3 Flow (anteriormente FLOW3) versiones 1.1.x anteriores a 1.1.1 y versiones 2.0.x anteriores a 2.0.1, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio de una entrada no especificada, que es devuelta en un mensaje de error. • http://osvdb.org/100825 http://secunia.com/advisories/55996 http://typo3.org/teams/security/security-bulletins/typo3-flow/typo3-flow-sa-2013-001 https://exchange.xforce.ibmcloud.com/vulnerabilities/89614 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •