CVE-2025-1247 — Quarkus REST Endpoint Request Parameter Leakage Due to Shared Instance

描述

A flaw was found in Quarkus REST that allows request parameters to leak between concurrent requests if endpoints use field injection without a CDI scope. This vulnerability allows attackers to manipulate request data, impersonate users, or access sensitive information.

如何修補 CVE-2025-1247

要修補 CVE-2025-1247,請將受影響套件升級到下列已修補版本。

—升級至 3.18.2 或更新版本
—升級至 3.18.2 或更新版本

CVE-2025-1247 正在被利用嗎?

低 — EPSS 為 0.0%,目前沒有觀察到大規模利用活動。

受影響套件(2)

>= 3.16.0.CR1, < 3.18.2
>= 3.16.0.CR1, < 3.18.2

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	HIGH8.3	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

參考連結(12)

ADVISORYnvd.nist.gov/vuln/detail/CVE-2025-1247
PATCHgithub.com/quarkusio/quarkus
WEBaccess.redhat.com/errata/RHSA-2025:1884
WEBaccess.redhat.com/errata/RHSA-2025:1885
WEBaccess.redhat.com/errata/RHSA-2025:2067