BDU:2022-05406

Опубликовано: 21 июн. 2022

Источник: fstec

CVSS3: 6.3

CVSS2: 6

EPSS Низкий

Описание

Уязвимость программной платформы Spring Framework связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код при помощи специально созданного .jar файла

Вендор

Pivotal Software Inc.

Наименование ПО

Spring Framework

Версия ПО

от 2.5.0 до 2.5.6.SEC02 (Spring Framework)

от 2.5.7 до 2.5.7.SR01 (Spring Framework)

от 3.0.0 до 3.0.3 (Spring Framework)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Обновление программной платформы Spring Framework до актуальной версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-1622
CVE

EPSS

Процентиль: 81%

0.01674

Низкий

6.3 Medium

CVSS3

6 Medium

CVSS2

Связанные уязвимости

CVE-2010-1622

redhat

около 15 лет назад

SpringSource Spring Framework 2.5.x before 2.5.6.SEC02, 2.5.7 before 2.5.7.SR01, and 3.0.x before 3.0.3 allows remote attackers to execute arbitrary code via an HTTP request containing class.classLoader.URLs[0]=jar: followed by a URL of a crafted .jar file.

CVE-2010-1622

nvd

почти 15 лет назад

CVE-2010-1622

debian

почти 15 лет назад

SpringSource Spring Framework 2.5.x before 2.5.6.SEC02, 2.5.7 before 2 ...

GHSA-vpr3-f594-mg5g

github

около 3 лет назад

Improper Control of Generation of Code ('Code Injection') in Spring Framework

EPSS

Процентиль: 81%

0.01674

Низкий

6.3 Medium

CVSS3

6 Medium

CVSS2