Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-02183

Опубликовано: 01 мар. 2022
Источник: fstec
CVSS3: 5.3
CVSS2: 4.3
EPSS Низкий

Описание

Уязвимость реализации технологии проверки учетных данных аутентификации TrustManager библиотеки для создания API-шлюзов Spring Cloud Gateway связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю подключаться к удаленным службам

Вендор

VMware Inc.

Наименование ПО

Spring Cloud Gateway

Версия ПО

до 3.1.0 включительно (Spring Cloud Gateway)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://tanzu.vmware.com/security/cve-2022-22946

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 80%
0.01458
Низкий

5.3 Medium

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-22946

CVSS3: 5.5
nvd
больше 3 лет назад

In spring cloud gateway versions prior to 3.1.1+ , applications that are configured to enable HTTP2 and no key store or trusted certificates are set will be configured to use an insecure TrustManager. This makes the gateway able to connect to remote services with invalid or custom certificates.

github логотип

GHSA-28g5-j6gh-p2vw

CVSS3: 5.5
github
больше 3 лет назад

In spring cloud gateway versions prior to 3.1.1+ , applications that are configured to enable HTTP2 and no key store or trusted certificates are set will be configured to use an insecure TrustManager. This makes the gateway able to connect to remote services with invalid or custom certificates.

EPSS

Процентиль: 80%
0.01458
Низкий

5.3 Medium

CVSS3

4.3 Medium

CVSS2