Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-02830

Опубликовано: 06 мая 2019
Источник: fstec
CVSS3: 6.5
CVSS2: 4.3
EPSS Критический

Описание

Уязвимость сервера Spring Cloud Config существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информациюс помощью специально созданного URL-адреса

Вендор

Pivotal Software Inc.
Oracle Corp.

Наименование ПО

Spring Cloud Config
Oracle Communications Cloud Native Core Policy

Версия ПО

от 1.4.0 до 1.4.6 (Spring Cloud Config)
от 2.0.0 до 2.0.4 (Spring Cloud Config)
от 2.1.0 до 2.1.2 (Spring Cloud Config)
1.15.0 (Oracle Communications Cloud Native Core Policy)

Тип ПО

Сетевое программное средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html
Для Spring Cloud Config:
https://pivotal.io/security/cve-2019-3799

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.90556
Критический

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2019-3799

CVSS3: 4.3
redhat
почти 7 лет назад

Spring Cloud Config, versions 2.1.x prior to 2.1.2, versions 2.0.x prior to 2.0.4, and versions 1.4.x prior to 1.4.6, and older unsupported versions allow applications to serve arbitrary configuration files through the spring-cloud-config-server module. A malicious user, or attacker, can send a request using a specially crafted URL that can lead a directory traversal attack.

nvd логотип

CVE-2019-3799

CVSS3: 6.5
nvd
почти 7 лет назад

Spring Cloud Config, versions 2.1.x prior to 2.1.2, versions 2.0.x prior to 2.0.4, and versions 1.4.x prior to 1.4.6, and older unsupported versions allow applications to serve arbitrary configuration files through the spring-cloud-config-server module. A malicious user, or attacker, can send a request using a specially crafted URL that can lead a directory traversal attack.

github логотип

GHSA-4x49-w62v-76q7

CVSS3: 6.5
github
больше 6 лет назад

Path Traversal in Spring Cloud Config

EPSS

Процентиль: 100%
0.90556
Критический

6.5 Medium

CVSS3

4.3 Medium

CVSS2