CVE-2023-5675

EPSS 0.13%
Veröffentlicht 25.04.2024 16:15:08
Zuletzt bearbeitet 15.04.2026 00:35:42
Quelle secalert@redhat.com
CVE-Watchlists
Login
Unerledigt
Login

Quarkus: authorization flaw in quarkus resteasy reactive and classic when "quarkus.security.jaxrs.deny-unannotated-endpoints" or "quarkus.security.jaxrs.default-roles-allowed" properties are used.

A flaw was found in Quarkus. When a Quarkus RestEasy Classic or Reactive JAX-RS endpoint has its methods declared in the abstract Java class or customized by Quarkus extensions using the annotation processor, the authorization of these methods will not be enforced if it is enabled by either 'quarkus.security.jaxrs.deny-unannotated-endpoints' or 'quarkus.security.jaxrs.default-roles-allowed' properties.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 7

CNA 15 VulnDex Vulnerability Enrichment 1

Daten sind bereitgestellt durch das CVE Programm von einer CVE Numbering Authority (CNA) (Unstrukturiert).

Collection URLhttps://mvnrepository.com/artifact/io.quarkus

≫

Paket quarkus-resteasy-reactive

Default Statusunaffected

Version 3.2.0

Version < 3.2.10.Final

Status affected

Version 3.6.0

Version < 3.6.9

Status affected

Version 3.7.0

Version < 3.7.1

Status affected

Version 3.8.0

Version < 3.8.*

Status unaffected

HerstellerRed Hat

≫

Produkt Red Hat build of Quarkus 2.13.9.Final

Default Statusaffected

Version 2.13.9.Final-redhat-00003

Version < *

Status unaffected

HerstellerRed Hat

≫

Produkt Red Hat build of Quarkus 2.13.9.Final

Default Statusaffected

Version 2.13.9.Final-redhat-00003

Version < *

Status unaffected

HerstellerRed Hat

≫

Produkt Red Hat build of Quarkus 3.2.9.Final

Default Statusaffected

Version 3.2.9.Final-redhat-00003

Version < *

Status unaffected

HerstellerRed Hat

≫

Produkt Red Hat build of Quarkus 3.2.9.Final

Default Statusaffected

Version 3.2.9.Final-redhat-00003

Version < *

Status unaffected

HerstellerRed Hat

≫

Produkt A-MQ Clients 2

Default Statusaffected

HerstellerRed Hat

≫

Produkt Cryostat 2

Default Statusaffected

HerstellerRed Hat

≫

Produkt OpenShift Serverless

Default Statusaffected

HerstellerRed Hat

≫

Produkt Red Hat build of Apicurio Registry 2

Default Statusaffected

HerstellerRed Hat

≫

Produkt Red Hat build of OptaPlanner 8

Default Statusaffected

HerstellerRed Hat

≫

Produkt Red Hat Fuse 7

Default Statusaffected

HerstellerRed Hat

≫

Produkt Red Hat Integration Camel K 1

Default Statusaffected

HerstellerRed Hat

≫

Produkt Red Hat Integration Camel Quarkus 2

Default Statusaffected

HerstellerRed Hat

≫

Produkt Red Hat JBoss Enterprise Application Platform 8

Default Statusaffected

HerstellerRed Hat

≫

Produkt Red Hat Process Automation 7

Default Statusaffected

VulnDex Vulnerability Enrichment

Diese Information steht angemeldeten Benutzern zur Verfügung.

Zu dieser CVE wurde keine Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.13%	0.319

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
secalert@redhat.com	6.5	3.9	2.5	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

CWE-285 Improper Authorization

The product does not perform or incorrectly performs an authorization check when an actor attempts to access a resource or perform an action.

https://access.redhat.com/errata/RHSA-2024:0494

https://access.redhat.com/errata/RHSA-2024:0495

https://access.redhat.com/security/cve/CVE-2023-5675

https://bugzilla.redhat.com/show_bug.cgi?id=2245197

https://nvd.nist.gov/vuln/detail/CVE-2023-5675

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2023-5675

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2023-5675

EUVD

Team-orientierte Vulnerability Management Plattform

Features der Plattform

CVE-2023-5675