CVE-2018-25007 – Unauthorized client-side property update in UIDL request handler in Vaadin 10 and 11

https://notcve.org/view.php?id=CVE-2018-25007

Missing check in UIDL request handler in com.vaadin:flow-server versions 1.0.0 through 1.0.5 (Vaadin 10.0.0 through 10.0.7, and 11.0.0 through 11.0.2) allows attacker to update element property values via crafted synchronization message. Una falta de comprobación en el controlador de peticiones UIDL en com.vaadin:flow-server versiones 1.0.0 hasta 1.0.5 (Vaadin versiones 10.0.0 hasta 10.0.7 y versiones 11.0.0 hasta 11.0.2), permiten al atacante actualizar los valores de propiedad del elemento por medio de mensaje de sincronización • https://github.com/vaadin/flow/pull/4774 https://vaadin.com/security/cve-2018-25007 • CWE-754: Improper Check for Unusual or Exceptional Conditions •