目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1110 CNY

100%
コーヒーを一杯おごる

CVE-2026-7860— Vaadin Flow 安全漏洞

AI Predicted 7.5 Difficulty: Moderate EPSS 0.02% · P4

Possible ATT&CK Techniques 1AI

T1530 · Data from Cloud Storage

Affected Version Matrix 14

ベンダープロダクトVersion Rangeステータス
vaadinflow23.0.0≤ 23.6.10affected
24.0.0≤ 24.9.17affected
24.10.0≤ 24.10.3affected
25.0.0≤ 25.0.11affected
25.1.0≤ 25.1.4affected
23.0.0≤ 23.6.10affected
24.0.0≤ 24.9.17affected
24.10.0≤ 24.10.3affected
… +6 more rows
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-7860の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Possible information disclosure of environment variables in Vaadin Build Plugins via Failed Frontend Build
ソース: NVD (National Vulnerability Database)
脆弱性説明
A possible information disclosure vulnerability exists in the Vaadin Maven plugin and Vaadin Gradle plugin that exposes the full set of environment variables in build logs whenever the frontend build process exits with a non-zero status. Because the build environment may contain credentials supplied as secrets, any failed frontend build can expose those secrets in clear text in CI logs and archived build artifacts. Users of affected versions should apply the following mitigation or upgrade. Releases that have fixed this issue include: Product version Vaadin 23.0.0 - 23.6.9 Vaadin 24.0.0 - 24.9.16 Vaadin 24.10.0 - 24.10.3 Vaadin 25.0.0 - 25.0.10 Vaadin 25.1.0 - 25.1.4 Mitigation Upgrade to 23.6.10 Upgrade to 24.9.17 or newer Upgrade to 24.10.4 or newer Upgrade to 25.0.11 or newer Upgrade to 25.1.5 or newer Please note that Vaadin versions 10-13 and 15-22 are no longer supported and you should update either to the latest 23, 24, or 25 version. ArtifactsMaven coordinatesVulnerable versionsFixed versioncom.vaadin:flow-plugin-base23.0.0 - 23.6.10≥23.6.11com.vaadin:flow-plugin-base24.0.0 - 24.9.17≥24.9.18com.vaadin:flow-plugin-base24.10.0 - 24.10.3≥24.10.4com.vaadin:flow-plugin-base25.0.0 - 25.0.11≥25.0.12com.vaadin:flow-plugin-base25.1.0 - 25.1.4≥25.1.5com.vaadin:flow-maven-plugin23.0.0 - 23.6.10≥23.6.11com.vaadin:flow-maven-plugin24.0.0 - 24.9.17≥24.9.18com.vaadin:flow-maven-plugin24.10.0 - 24.10.3≥24.10.4com.vaadin:flow-maven-plugin25.0.0 - 25.0.11≥25.0.12com.vaadin:flow-maven-plugin25.1.0 - 25.1.4≥25.1.5com.vaadin:flow-gradle-plugin24.0.0 - 24.9.17≥24.9.18com.vaadin:flow-gradle-plugin24.10.0 - 24.10.3≥24.10.4com.vaadin:flow-gradle-plugin25.0.0 - 25.0.11≥25.0.12com.vaadin:flow-gradle-plugin25.1.0 - 25.1.4≥25.1.5
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
通过错误消息导致的信息暴露
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Vaadin Flow 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Vaadin Flow是Vaadin开源的一个应用软件。Vaadin平台的Java框架,用于构建外观美观,性能良好并让您和您的用户感到满意的现代网站。 Vaadin Flow 23.0.0至23.6.9版本、24.0.0至24.10.3版本和25.0.0至25.1.4版本存在安全漏洞,该漏洞源于前端构建进程退出非零状态时暴露完整环境变量,可能导致凭据泄露。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
vaadinflow 23.0.0 ~ 23.6.10 -
vaadinflow 23.0.0 ~ 23.6.10 -
vaadinflow 24.0.0 ~ 24.9.17 -

II. CVE-2026-7860の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-7860のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-7860 补丁与修复 (1)

CVE-2026-7860 厂商安全公告 (1)

IV. 関連脆弱性

同じ製品: flow
同じベンダー: vaadin
同じ弱点: CWE-209

V. CVE-2026-7860へのコメント

まだコメントはありません

コメントを残す