CVE-2023-25500

Possible information disclosure in Vaadin 10.0.0 to 10.0.23, 11.0.0 to 14.10.1, 15.0.0 to 22.0.28, 23.0.0 to 23.3.13, 24.0.0 to 24.0.6, 24.1.0.alpha1 to 24.1.0.rc2, resulting in potential information disclosure of class and method names in RPC responses by sending modified requests.

Published: Jun 22, 2023
Updated: May 9, 2024
CVE: CVE-2023-25500
GHSA: GHSA-ch48-9r3q-pv7x
Severity: Low
Exploit:

CVSS v3:

Severity: Low
Score: 4.3
AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CWEs:

Affected Software
References

Software	From	Fixed in
com.vaadin / flow-server	1.0.0	1.0.21
com.vaadin / flow-server	1.1.0	2.9.3
com.vaadin / flow-server	3.0.0	9.1.2
com.vaadin / flow-server	23.0.0	23.3.13
com.vaadin / flow-server	24.0.0	24.0.9
com.vaadin / flow-server	24.1.alpha1	24.1.0
com.vaadin / vaadin	10.0.0	10.0.24
com.vaadin / vaadin	11.0.0	14.10.2
com.vaadin / vaadin	15.0.0	22.1.0
com.vaadin / vaadin	23.0.0	23.3.14
com.vaadin / vaadin	24.0.0	24.0.7
com.vaadin / vaadin	24.1.0.alpha1	24.1.0
vaadin / vaadin	24.1.0-alpha2	24.1.0-alpha2.x
vaadin / vaadin	24.1.0-alpha3	24.1.0-alpha3.x
vaadin / vaadin	24.1.0-alpha4	24.1.0-alpha4.x
vaadin / vaadin	24.1.0-alpha5	24.1.0-alpha5.x
vaadin / vaadin	24.1.0-alpha6	24.1.0-alpha6.x
vaadin / vaadin	24.1.0-beta1	24.1.0-beta1.x
vaadin / vaadin	10.0.0	10.0.23
vaadin / vaadin	24.1.0-alpha1	24.1.0-alpha1.x
vaadin / vaadin	15.0.0	22.0.28.x
vaadin / vaadin	11.0.0	14.10.2
vaadin / vaadin	24.1.0-beta2	24.1.0-beta2.x
vaadin / vaadin	24.1.0-beta3	24.1.0-beta3.x
vaadin / vaadin	24.1.0-rc1	24.1.0-rc1.x
vaadin / vaadin	24.1.0-rc2	24.1.0-rc2.x
vaadin / vaadin	23.0.0	23.3.14
vaadin / vaadin	24.0.0	24.0.7

Vulnerability Database

291,049

CVE-2023-25500