Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-02018

Опубликовано: 20 мар. 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Средний

Описание

Уязвимость компонента mvcRequestMatche Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security связана с нарушением механизма защиты данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемой информации

Вендор

Pivotal Software Inc.

Наименование ПО

Spring Security

Версия ПО

от 6.0.0 до 6.0.6 включительно (Spring Security)
от 5.3.0 до 5.3.25 включительно (Spring Security)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://spring.io/security/cve-2023-20860

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.55534
Средний

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-20860

CVSS3: 7.5
ubuntu
около 2 лет назад

Spring Framework running version 6.0.0 - 6.0.6 or 5.3.0 - 5.3.25 using "**" as a pattern in Spring Security configuration with the mvcRequestMatcher creates a mismatch in pattern matching between Spring Security and Spring MVC, and the potential for a security bypass.

redhat логотип

CVE-2023-20860

CVSS3: 7.5
redhat
около 2 лет назад

Spring Framework running version 6.0.0 - 6.0.6 or 5.3.0 - 5.3.25 using "**" as a pattern in Spring Security configuration with the mvcRequestMatcher creates a mismatch in pattern matching between Spring Security and Spring MVC, and the potential for a security bypass.

nvd логотип

CVE-2023-20860

CVSS3: 7.5
nvd
около 2 лет назад

Spring Framework running version 6.0.0 - 6.0.6 or 5.3.0 - 5.3.25 using "**" as a pattern in Spring Security configuration with the mvcRequestMatcher creates a mismatch in pattern matching between Spring Security and Spring MVC, and the potential for a security bypass.

debian логотип

CVE-2023-20860

CVSS3: 7.5
debian
около 2 лет назад

Spring Framework running version 6.0.0 - 6.0.6 or 5.3.0 - 5.3.25 using ...

github логотип

GHSA-7phw-cxx7-q9vq

CVSS3: 9.1
github
около 2 лет назад

Spring Framework is vulnerable to security bypass via mvcRequestMatcher pattern mismatch

EPSS

Процентиль: 98%
0.55534
Средний

7.5 High

CVSS3

7.8 High

CVSS2