CVE-2023-45144

CVE-2023-45144

com.xwiki.identity-oauth:identity-oauth-ui is a package to aid in building identity and service providers based on OAuth authorizations. When a user logs in via the OAuth method, the identityOAuth parameters sent in the GET request is vulnerable to cross site scripting (XSS) and XWiki syntax injection. This allows remote code execution via the groovy macro and thus affects the confidentiality, integrity and availability of the whole XWiki installation. The issue has been fixed in Identity OAuth version…

17 октября 2023, вторник 4:00 Оставить комментарий Источник

Похожие материалы

Как я oauth proxy навайбокодил

Чем хорош TRMNL -- так это возможностью выводить что-то своё за считанные минуты.Но сервер позволяет только простые GET и POST запросы, то есть в лоб OAuth2 не реализуешь. Оно и понятно: они не очень хотят хранить данные авторизации для всех.Но всегда можно обойтись малой кровью: например, бесплатным CloudFlare. Только повайбкодить придётся

14 апреля 2025, понедельник 13:07 Источник
CVE-2020-11077

In Puma (RubyGem) before 4.3.5 and 3.12.6, a client could smuggle a request through a proxy, causing the proxy to send a response back to another unknown client. If the proxy uses persistent connections and the client adds another request in via HTTP pipelining, the proxy may mistake it as the first request's body. Puma, however, would see it as two requests, and when processing the second request, send back a response that the proxy does not expect. If the proxy has reused the persistent connection to…

22 мая 2020, пятница 22:00 Источник
Oauth 2.1 spring authorization server + SPA

Доброго всем дня уважаемые хабровчане!До сего момента я являлся лишь читателем этого замечательного ресурса, но вот кажется и пришло время написать мою первую статью.Oauth 2.1 - дальнейшее развитие популярного фреймворка авторизации Oauth 2.0, который на момент написания статьи всё ещё вроде как находится в стадии черновика. Но тем не менее уже начинает применяться. На хабре уже есть более подробная статья на эту тему.Из не очень приятного, из Oauth 2.1 убраны варианты получения токена. Читать далее

16 сентября 2022, пятница 17:52 Источник

CVE-2023-45144

Комментарии

Похожие материалы

Как я oauth proxy навайбокодил

CVE-2020-11077

Oauth 2.1 spring authorization server + SPA