Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-04463

Опубликовано: 01 июн. 2020
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Критический

Описание

Уязвимость модуля spring-cloud-config-server сервера Spring Cloud Config существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к защищаемой информации с помощью специально сформированного HTTP-запроса

Вендор

Pivotal Software Inc.

Наименование ПО

Spring Cloud Config

Версия ПО

от 2.1.0 до 2.1.9 (Spring Cloud Config)
от 2.2.0 до 2.2.3 (Spring Cloud Config)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://tanzu.vmware.com/security/cve-2020-5410

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94323
Критический

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2020-5410

CVSS3: 7.5
redhat
больше 5 лет назад

Spring Cloud Config, versions 2.2.x prior to 2.2.3, versions 2.1.x prior to 2.1.9, and older unsupported versions allow applications to serve arbitrary configuration files through the spring-cloud-config-server module. A malicious user, or attacker, can send a request using a specially crafted URL that can lead to a directory traversal attack.

nvd логотип

CVE-2020-5410

CVSS3: 7.5
nvd
больше 5 лет назад

Spring Cloud Config, versions 2.2.x prior to 2.2.3, versions 2.1.x prior to 2.1.9, and older unsupported versions allow applications to serve arbitrary configuration files through the spring-cloud-config-server module. A malicious user, or attacker, can send a request using a specially crafted URL that can lead to a directory traversal attack.

github логотип

GHSA-32xf-jwmv-9hf3

CVSS3: 7.5
github
больше 5 лет назад

Directory traversal attack in Spring Cloud Config

EPSS

Процентиль: 100%
0.94323
Критический

7.5 High

CVSS3

7.8 High

CVSS2