Vulnerabilities > CVE-2021-31403 - Information Exposure Through Discrepancy vulnerability in Vaadin

CVSS 1.9 - LOW

Attack vector

LOCAL

Attack complexity

MEDIUM

Privileges required

NONE

Confidentiality impact

PARTIAL

Integrity impact

NONE

Availability impact

NONE

local

vaadin

CWE-203

NVD

Published: 2021-04-23

Updated: 2021-04-30

Summary

Non-constant-time comparison of CSRF tokens in UIDL request handler in com.vaadin:vaadin-server versions 7.0.0 through 7.7.23 (Vaadin 7.0.0 through 7.7.23), and 8.0.0 through 8.12.2 (Vaadin 8.0.0 through 8.12.2) allows attacker to guess a security token via timing attack

Vulnerable Configurations

Part	Description	Count
Application	Vaadin Vaadin Vaadin 7.0.0 Vaadin Vaadin 7.0.1 Vaadin Vaadin 7.0.2 Vaadin Vaadin 7.0.3 Vaadin Vaadin 7.0.4 Vaadin Vaadin 7.0.5 Vaadin Vaadin 7.0.6 Vaadin Vaadin 7.0.7 Vaadin Vaadin 7.1.0 Vaadin Vaadin 7.1.1 Vaadin Vaadin 7.1.2 Vaadin Vaadin 7.1.3 Vaadin Vaadin 7.1.4 Vaadin Vaadin 7.1.5 Vaadin Vaadin 7.1.6 Vaadin Vaadin 7.1.7 Vaadin Vaadin 7.1.8 Vaadin Vaadin 7.1.9 Vaadin Vaadin 7.1.10 Vaadin Vaadin 7.1.11 Vaadin Vaadin 7.1.12 Vaadin Vaadin 7.1.13 Vaadin Vaadin 7.1.14 Vaadin Vaadin 7.1.15 Vaadin Vaadin 7.2.0 Vaadin Vaadin 7.2.1 Vaadin Vaadin 7.2.2 Vaadin Vaadin 7.2.3 Vaadin Vaadin 7.2.4 Vaadin Vaadin 7.2.5 Vaadin Vaadin 7.2.6 Vaadin Vaadin 7.2.7 Vaadin Vaadin 7.3.0 Vaadin Vaadin 7.3.1 Vaadin Vaadin 7.3.2 Vaadin Vaadin 7.3.3 Vaadin Vaadin 7.3.4 Vaadin Vaadin 7.3.5 Vaadin Vaadin 7.3.6 Vaadin Vaadin 7.3.7 Vaadin Vaadin 7.3.8 Vaadin Vaadin 7.3.9 Vaadin Vaadin 7.3.10 Vaadin Vaadin 7.4.0 Vaadin Vaadin 7.4.1 Vaadin Vaadin 7.4.2 Vaadin Vaadin 7.4.3 Vaadin Vaadin 7.4.4 Vaadin Vaadin 7.4.5 Vaadin Vaadin 7.4.6 Vaadin Vaadin 7.4.7 Vaadin Vaadin 7.4.8 Vaadin Vaadin 7.5.0 Vaadin Vaadin 7.5.1 Vaadin Vaadin 7.5.2 Vaadin Vaadin 7.5.3 Vaadin Vaadin 7.5.4 Vaadin Vaadin 7.5.5 Vaadin Vaadin 7.5.6 Vaadin Vaadin 7.5.7 Vaadin Vaadin 7.5.8 Vaadin Vaadin 7.5.9 Vaadin Vaadin 7.5.10 Vaadin Vaadin 7.6.0 Vaadin Vaadin 7.6.1 Vaadin Vaadin 7.6.2 Vaadin Vaadin 7.6.3 Vaadin Vaadin 7.6.4 Vaadin Vaadin 7.6.5 Vaadin Vaadin 7.6.6 Vaadin Vaadin 7.6.7 Vaadin Vaadin 7.6.8 Vaadin Vaadin 7.7.0 Vaadin Vaadin 7.7.1 Vaadin Vaadin 7.7.2 Vaadin Vaadin 7.7.3 Vaadin Vaadin 7.7.4 Vaadin Vaadin 7.7.5 Vaadin Vaadin 7.7.6 Vaadin Vaadin 7.7.7 Vaadin Vaadin 7.7.8 Vaadin Vaadin 7.7.9 Vaadin Vaadin 7.7.10 Vaadin Vaadin 7.7.11 Vaadin Vaadin 7.7.12 Vaadin Vaadin 7.7.13 Vaadin Vaadin 7.7.14 Vaadin Vaadin 7.7.15 Vaadin Vaadin 7.7.16 Vaadin Vaadin 7.7.17 Vaadin Vaadin 8.0.0 Vaadin Vaadin 8.0.1 Vaadin Vaadin 8.0.2 Vaadin Vaadin 8.0.3 Vaadin Vaadin 8.0.4 Vaadin Vaadin 8.0.5 Vaadin Vaadin 8.0.6 Vaadin Vaadin 8.0.7 Vaadin Vaadin 8.1.0 Vaadin Vaadin 8.1.1 Vaadin Vaadin 8.1.2 Vaadin Vaadin 8.1.3 Vaadin Vaadin 8.1.4 Vaadin Vaadin 8.1.5 Vaadin Vaadin 8.1.6 Vaadin Vaadin 8.1.7 Vaadin Vaadin 8.2.0 Vaadin Vaadin 8.2.1 Vaadin Vaadin 8.3.0 Vaadin Vaadin 8.3.1 Vaadin Vaadin 8.3.2 Vaadin Vaadin 8.3.3 Vaadin Vaadin 8.4.0 Vaadin Vaadin 8.4.1 Vaadin Vaadin 8.4.2 Vaadin Vaadin 8.4.3 Vaadin Vaadin 8.4.4 Vaadin Vaadin 8.4.5 Vaadin Vaadin 8.5.0 Vaadin Vaadin 8.5.1 Vaadin Vaadin 8.5.2 Vaadin Vaadin 8.6.0 Vaadin Vaadin 8.6.1 Vaadin Vaadin 8.6.2 Vaadin Vaadin 8.6.3 Vaadin Vaadin 8.6.4 Vaadin Vaadin 8.7.0 Vaadin Vaadin 8.7.1 Vaadin Vaadin 8.7.2 Vaadin Vaadin 8.8.0 Vaadin Vaadin 8.8.1 Vaadin Vaadin 8.8.2	234

Common Weakness Enumeration (CWE)

CWE-203 - Information Exposure Through Discrepancy

Summary

Vulnerable Configurations

Common Weakness Enumeration (CWE)

References