Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-00257

Опубликовано: 07 мая 2020
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Низкий

Описание

Уязвимость компонента spring-security-saml2-service-provider Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security связана с некорректной проверкой криптографической подписи. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Pivotal Software Inc.
Oracle Corp.

Наименование ПО

Spring Security
MySQL Enterprise Monitor

Версия ПО

от 5.2.0 до 5.2.4 (Spring Security)
от 5.3.0 до 5.3.2 (Spring Security)
до 8.0.22 включительно (MySQL Enterprise Monitor)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Обновление Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security до актуальной версии
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 71%
0.00665
Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-5407

CVSS3: 8.8
ubuntu
больше 5 лет назад

Spring Security versions 5.2.x prior to 5.2.4 and 5.3.x prior to 5.3.2 contain a signature wrapping vulnerability during SAML response validation. When using the spring-security-saml2-service-provider component, a malicious user can carefully modify an otherwise valid SAML response and append an arbitrary assertion that Spring Security will accept as valid.

nvd логотип

CVE-2020-5407

CVSS3: 8.8
nvd
больше 5 лет назад

Spring Security versions 5.2.x prior to 5.2.4 and 5.3.x prior to 5.3.2 contain a signature wrapping vulnerability during SAML response validation. When using the spring-security-saml2-service-provider component, a malicious user can carefully modify an otherwise valid SAML response and append an arbitrary assertion that Spring Security will accept as valid.

debian логотип

CVE-2020-5407

CVSS3: 8.8
debian
больше 5 лет назад

Spring Security versions 5.2.x prior to 5.2.4 and 5.3.x prior to 5.3.2 ...

github логотип

GHSA-48rw-j489-928m

CVSS3: 8.8
github
больше 5 лет назад

Signature wrapping vulnerability in Spring Security

EPSS

Процентиль: 71%
0.00665
Низкий

8.8 High

CVSS3

9 Critical

CVSS2