cfme is vulnerable to CSRF bypass attacks. The vulnerability exists as a number of unused delete routes are present in CloudForms before 5.7.2.1 which can be accessed via GET requests instead of just POST requests. This could allow an attacker to bypass the protect_from_forgery CSRF protection causing the routes to be used. This attack would require additional cross-site scripting or similar attacks in order to execute.
www.securityfocus.com/bid/96964
access.redhat.com/errata/RHSA-2017:0320
access.redhat.com/errata/RHSA-2017:0898
access.redhat.com/security/updates/classification/#moderate
bugzilla.redhat.com/show_bug.cgi?id=1386342
bugzilla.redhat.com/show_bug.cgi?id=1393438
bugzilla.redhat.com/show_bug.cgi?id=1395722
bugzilla.redhat.com/show_bug.cgi?id=1395866
bugzilla.redhat.com/show_bug.cgi?id=1396237
bugzilla.redhat.com/show_bug.cgi?id=1396579
bugzilla.redhat.com/show_bug.cgi?id=1402995
bugzilla.redhat.com/show_bug.cgi?id=1411477
bugzilla.redhat.com/show_bug.cgi?id=1414003
bugzilla.redhat.com/show_bug.cgi?id=1416819
bugzilla.redhat.com/show_bug.cgi?id=1416827
bugzilla.redhat.com/show_bug.cgi?id=1416836
bugzilla.redhat.com/show_bug.cgi?id=1416894
bugzilla.redhat.com/show_bug.cgi?id=1417757
bugzilla.redhat.com/show_bug.cgi?id=1417762
bugzilla.redhat.com/show_bug.cgi?id=1417763
bugzilla.redhat.com/show_bug.cgi?id=1417779
bugzilla.redhat.com/show_bug.cgi?id=1418066
bugzilla.redhat.com/show_bug.cgi?id=1418221
bugzilla.redhat.com/show_bug.cgi?id=1418815
bugzilla.redhat.com/show_bug.cgi?id=1419603
bugzilla.redhat.com/show_bug.cgi?id=1419694
bugzilla.redhat.com/show_bug.cgi?id=1420284
bugzilla.redhat.com/show_bug.cgi?id=1420442
bugzilla.redhat.com/show_bug.cgi?id=1420467
bugzilla.redhat.com/show_bug.cgi?id=1421154
bugzilla.redhat.com/show_bug.cgi?id=1421158
bugzilla.redhat.com/show_bug.cgi?id=1421161
bugzilla.redhat.com/show_bug.cgi?id=1422647
bugzilla.redhat.com/show_bug.cgi?id=1422648
bugzilla.redhat.com/show_bug.cgi?id=1422649
bugzilla.redhat.com/show_bug.cgi?id=1422650
bugzilla.redhat.com/show_bug.cgi?id=1422651
bugzilla.redhat.com/show_bug.cgi?id=1422652
bugzilla.redhat.com/show_bug.cgi?id=1422653
bugzilla.redhat.com/show_bug.cgi?id=1422654
bugzilla.redhat.com/show_bug.cgi?id=1422975
bugzilla.redhat.com/show_bug.cgi?id=1423032
bugzilla.redhat.com/show_bug.cgi?id=1423470
bugzilla.redhat.com/show_bug.cgi?id=1424255
bugzilla.redhat.com/show_bug.cgi?id=1425492
bugzilla.redhat.com/show_bug.cgi?id=1425494
bugzilla.redhat.com/show_bug.cgi?id=1425873
bugzilla.redhat.com/show_bug.cgi?id=1426433
bugzilla.redhat.com/show_bug.cgi?id=1426628
bugzilla.redhat.com/show_bug.cgi?id=1426638
bugzilla.redhat.com/show_bug.cgi?id=1426683
bugzilla.redhat.com/show_bug.cgi?id=1427168
bugzilla.redhat.com/show_bug.cgi?id=1427169
bugzilla.redhat.com/show_bug.cgi?id=1427172
bugzilla.redhat.com/show_bug.cgi?id=1427298
bugzilla.redhat.com/show_bug.cgi?id=1427299
bugzilla.redhat.com/show_bug.cgi?id=1427321
bugzilla.redhat.com/show_bug.cgi?id=1427520
bugzilla.redhat.com/show_bug.cgi?id=1427522
bugzilla.redhat.com/show_bug.cgi?id=1428079
bugzilla.redhat.com/show_bug.cgi?id=1428122
bugzilla.redhat.com/show_bug.cgi?id=1428124
bugzilla.redhat.com/show_bug.cgi?id=1428130
bugzilla.redhat.com/show_bug.cgi?id=1428131
bugzilla.redhat.com/show_bug.cgi?id=1428508
bugzilla.redhat.com/show_bug.cgi?id=1428509
bugzilla.redhat.com/show_bug.cgi?id=1428512
bugzilla.redhat.com/show_bug.cgi?id=1428579
bugzilla.redhat.com/show_bug.cgi?id=1428895
bugzilla.redhat.com/show_bug.cgi?id=1428897
bugzilla.redhat.com/show_bug.cgi?id=1428899
bugzilla.redhat.com/show_bug.cgi?id=1428900
bugzilla.redhat.com/show_bug.cgi?id=1428903
bugzilla.redhat.com/show_bug.cgi?id=1428904
bugzilla.redhat.com/show_bug.cgi?id=1429648
bugzilla.redhat.com/show_bug.cgi?id=1429650
bugzilla.redhat.com/show_bug.cgi?id=1429652
bugzilla.redhat.com/show_bug.cgi?id=1429999
bugzilla.redhat.com/show_bug.cgi?id=1430088
bugzilla.redhat.com/show_bug.cgi?id=1430089
bugzilla.redhat.com/show_bug.cgi?id=1430439
bugzilla.redhat.com/show_bug.cgi?id=1430542
bugzilla.redhat.com/show_bug.cgi?id=1430835
bugzilla.redhat.com/show_bug.cgi?id=1430838
bugzilla.redhat.com/show_bug.cgi?id=1430937
bugzilla.redhat.com/show_bug.cgi?id=1431154
bugzilla.redhat.com/show_bug.cgi?id=1431162
bugzilla.redhat.com/show_bug.cgi?id=1431163
bugzilla.redhat.com/show_bug.cgi?id=1431164
bugzilla.redhat.com/show_bug.cgi?id=1431165
bugzilla.redhat.com/show_bug.cgi?id=1431166
bugzilla.redhat.com/show_bug.cgi?id=1431168
bugzilla.redhat.com/show_bug.cgi?id=1431620
bugzilla.redhat.com/show_bug.cgi?id=1431641
bugzilla.redhat.com/show_bug.cgi?id=1431727
bugzilla.redhat.com/show_bug.cgi?id=1431808
bugzilla.redhat.com/show_bug.cgi?id=1431842
bugzilla.redhat.com/show_bug.cgi?id=1432093
bugzilla.redhat.com/show_bug.cgi?id=1432098
bugzilla.redhat.com/show_bug.cgi?id=1432463
bugzilla.redhat.com/show_bug.cgi?id=1432467
bugzilla.redhat.com/show_bug.cgi?id=1432639
bugzilla.redhat.com/show_bug.cgi?id=1432957
bugzilla.redhat.com/show_bug.cgi?id=1432960
bugzilla.redhat.com/show_bug.cgi?id=1432961
bugzilla.redhat.com/show_bug.cgi?id=1432962
bugzilla.redhat.com/show_bug.cgi?id=1433069
bugzilla.redhat.com/show_bug.cgi?id=1433089
bugzilla.redhat.com/show_bug.cgi?id=1433093
bugzilla.redhat.com/show_bug.cgi?id=1433094
bugzilla.redhat.com/show_bug.cgi?id=1433366
bugzilla.redhat.com/show_bug.cgi?id=1433435
bugzilla.redhat.com/show_bug.cgi?id=1433486
bugzilla.redhat.com/show_bug.cgi?id=1433500
bugzilla.redhat.com/show_bug.cgi?id=1433962
bugzilla.redhat.com/show_bug.cgi?id=1433974
bugzilla.redhat.com/show_bug.cgi?id=1433976
bugzilla.redhat.com/show_bug.cgi?id=1433979
bugzilla.redhat.com/show_bug.cgi?id=1433980
bugzilla.redhat.com/show_bug.cgi?id=1433981
bugzilla.redhat.com/show_bug.cgi?id=1434012
bugzilla.redhat.com/show_bug.cgi?id=1434096
bugzilla.redhat.com/show_bug.cgi?id=1434150
bugzilla.redhat.com/show_bug.cgi?id=1434151
bugzilla.redhat.com/show_bug.cgi?id=1434157
bugzilla.redhat.com/show_bug.cgi?id=1434158
bugzilla.redhat.com/show_bug.cgi?id=1434160
bugzilla.redhat.com/show_bug.cgi?id=1434172
bugzilla.redhat.com/show_bug.cgi?id=1434411
bugzilla.redhat.com/show_bug.cgi?id=1434428
bugzilla.redhat.com/show_bug.cgi?id=1434549
bugzilla.redhat.com/show_bug.cgi?id=1435278
bugzilla.redhat.com/show_bug.cgi?id=1436223
bugzilla.redhat.com/show_bug.cgi?id=1436340
bugzilla.redhat.com/show_bug.cgi?id=1436854
bugzilla.redhat.com/show_bug.cgi?id=1437560
bugzilla.redhat.com/show_bug.cgi?id=1438450
bugzilla.redhat.com/show_bug.cgi?id=1438888
bugzilla.redhat.com/show_bug.cgi?id=1439308
bugzilla.redhat.com/show_bug.cgi?id=1440405
bugzilla.redhat.com/show_bug.cgi?id=1440408
bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-2653