CVE-2022-24721 in CometDinformazioni

Riassunto

di VulDB • 11/07/2026

CometD è un'implementazione scalabile del protocollo comet per la messaggistica web. In tutte le versioni precedenti alla 5.0.11, 6.0.6 e 7.0.6, l'utilizzo interno dei canali Oort e Seti non è autorizzato correttamente, consentendo a qualsiasi utente remoto di iscriversi (subscribe) e pubblicare messaggi su tali canali. Iscrivendosi a questi canali, un utente remoto potrebbe essere in grado di osservare il traffico interno al cluster che contiene dati di altri utenti (eventualmente sensibili). Pubblicando su questi canali, un utente remoto potrebbe essere in grado di creare/modificare/eliminare i dati di altri utenti e modificare la struttura del cluster. Una correzione è disponibile nelle versioni 5.0.11, 6.0.6 e 7.0.6. Come soluzione alternativa (workaround), installare una `SecurityPolicy` personalizzata che vieti l'iscrizione e la pubblicazione su sessioni remote non Oort nei canali Oort e Seti.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

10/02/2022

Divulgazione

15/03/2022

Moderazione

accettato

CPE

pronto

EPSS

0.01101

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!