Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-05178

Опубликовано: 14 мая 2020
Источник: fstec
CVSS3: 6.5
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security связана с использованием недостаточно случайных значений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Oracle Corp.
Pivotal Software Inc.

Наименование ПО

Oracle Communications Element Manager
Oracle Communications Session Report Manager
Oracle Communications Session Route Manager
Spring Security
Financial Services Applications
MySQL Enterprise Monitor

Версия ПО

от 8.2.0 до 8.2.2 включительно (Oracle Communications Element Manager)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Report Manager)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Route Manager)
от 4.2.0 до 4.2.16 включительно (Spring Security)
от 5.0.0 до 5.0.16 включительно (Spring Security)
от 5.1.0 до 5.1.10 включительно (Spring Security)
от 5.2.0 до 5.2.4 включительно (Spring Security)
от 5.3.0 до 5.3.2 включительно (Spring Security)
14.3.0 (Financial Services Applications)
14.4.0 (Financial Services Applications)
до 8.0.22 включительно (MySQL Enterprise Monitor)
14.1.0 (Financial Services Applications)
14.0.0 (Financial Services Applications)
14.2.0 (Financial Services Applications)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
Для Spring Security:
https://tanzu.vmware.com/security/cve-2020-5408

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 64%
0.00468
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-5408

CVSS3: 6.5
ubuntu
больше 5 лет назад

Spring Security versions 5.3.x prior to 5.3.2, 5.2.x prior to 5.2.4, 5.1.x prior to 5.1.10, 5.0.x prior to 5.0.16 and 4.2.x prior to 4.2.16 use a fixed null initialization vector with CBC Mode in the implementation of the queryable text encryptor. A malicious user with access to the data that has been encrypted using such an encryptor may be able to derive the unencrypted values using a dictionary attack.

nvd логотип

CVE-2020-5408

CVSS3: 6.5
nvd
больше 5 лет назад

Spring Security versions 5.3.x prior to 5.3.2, 5.2.x prior to 5.2.4, 5.1.x prior to 5.1.10, 5.0.x prior to 5.0.16 and 4.2.x prior to 4.2.16 use a fixed null initialization vector with CBC Mode in the implementation of the queryable text encryptor. A malicious user with access to the data that has been encrypted using such an encryptor may be able to derive the unencrypted values using a dictionary attack.

debian логотип

CVE-2020-5408

CVSS3: 6.5
debian
больше 5 лет назад

Spring Security versions 5.3.x prior to 5.3.2, 5.2.x prior to 5.2.4, 5 ...

github логотип

GHSA-2ppp-9496-p23q

CVSS3: 6.5
github
больше 5 лет назад

Insufficient Entropy in Spring Security

EPSS

Процентиль: 64%
0.00468
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2