CVE-2020-12480
https://notcve.org/view.php?id=CVE-2020-12480
In Play Framework 2.6.0 through 2.8.1, the CSRF filter can be bypassed by making CORS simple requests with content types that contain parameters that can't be parsed. En Play Framework versiones 2.6.0 hasta 2.8.1, el filtro CSRF puede ser omitido al hacer peticiones simples CORS con tipos de contenido que contienen parámetros que no pueden ser analizados. • https://www.playframework.com/security/vulnerability https://www.playframework.com/security/vulnerability/CVE-2020-12480-CsrfBlacklistBypass • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2019-17598
https://notcve.org/view.php?id=CVE-2019-17598
An issue was discovered in Lightbend Play Framework 2.5.x through 2.6.23. When configured to make requests using an authenticated HTTP proxy, play-ws may sometimes, typically under high load, when connecting to a target host using https, expose the proxy credentials to the target host. Se descubrió un problema en Lightbend Play Framework versiones 2.5.x hasta la versión 2.6.23. Cuando es configurado para realizar peticiones utilizando un proxy HTTP autenticado, play-ws puede algunas veces, generalmente bajo una carga alta, cuando se conecta a un host de destino usando https, exponer las credenciales del proxy al host de destino. • https://www.playframework.com/security/vulnerability https://www.playframework.com/security/vulnerability/CVE-2019-17598-PlayWSHttpConnectAuthorizationHeaders • CWE-326: Inadequate Encryption Strength •
CVE-2018-18853
https://notcve.org/view.php?id=CVE-2018-18853
Lightbend Spray spray-json through 1.3.4 allows remote attackers to cause a denial of service (resource consumption) because of Algorithmic Complexity during the parsing of a field composed of many decimal digits. Lightbend Spray spray-json hasta la versión 1.3.4 permite que atacantes remotos provoquen una denegación de servicio (consumo de recursos) debido a la complejidad de un algoritmo durante el análisis de un campo compuesto por muchos dígitos decimales. • https://github.com/spray/spray-json/issues/278 • CWE-400: Uncontrolled Resource Consumption •
CVE-2018-18854
https://notcve.org/view.php?id=CVE-2018-18854
Lightbend Spray spray-json through 1.3.4 allows remote attackers to cause a denial of service (resource consumption) because of Algorithmic Complexity during the parsing of many JSON object fields (with keys that have the same hash code). Lightbend Spray spray-json hasta la versión 1.3.4 permite que atacantes remotos provoquen una denegación de servicio (consumo de recursos) debido a la complejidad de un algoritmo durante el análisis de muchos campos de objeto JSON (con claves que tienen el mismo código de hash). • https://github.com/spray/spray-json/issues/277 • CWE-400: Uncontrolled Resource Consumption •
CVE-2018-16131
https://notcve.org/view.php?id=CVE-2018-16131
The decodeRequest and decodeRequestWith directives in Lightbend Akka HTTP 10.1.x through 10.1.4 and 10.0.x through 10.0.13 allow remote attackers to cause a denial of service (memory consumption and daemon crash) via a ZIP bomb. Las directivas decodeRequest y decodeRequestWith en Lightbend Akka HTTP, desde las versiones 10.1.x hasta la 10.1.4 y versiones 10.0.x hasta la 10.0.13 permiten que atacantes remotos provoquen una denegación de servicio (consumo de memoria y cierre inesperado del demonio) mediante una bomba ZIP. • https://akka.io/blog/news/2018/08/30/akka-http-dos-vulnerability-found https://doc.akka.io/docs/akka-http/current/security/2018-09-05-denial-of-service-via-decodeRequest.html https://github.com/akka/akka-http/issues/2137 https://groups.google.com/forum/#%21topic/akka-security/Dj7INsYWdjg • CWE-400: Uncontrolled Resource Consumption •