Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03799

Опубликовано: 18 июл. 2023
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Средний

Описание

Уязвимость Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security связана с использованием «**» в качестве шаблона в конфигурации Spring Security для WebFlux. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения безопасности

Вендор

Pivotal Software Inc.

Наименование ПО

Spring Security

Версия ПО

от 6.1.0 до 6.1.1 включительно (Spring Security)
от 6.0.0 до 6.0.4 включительно (Spring Security)
от 5.8.0 до 5.8.4 включительно (Spring Security)
от 5.7.0 до 5.7.9 включительно (Spring Security)
от 5.6.0 до 5.6.11 включительно (Spring Security)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://spring.io/security/cve-2023-34034

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.47909
Средний

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2023-34034

CVSS3: 8.1
redhat
больше 2 лет назад

Using "**" as a pattern in Spring Security configuration for WebFlux creates a mismatch in pattern matching between Spring Security and Spring WebFlux, and the potential for a security bypass.

nvd логотип

CVE-2023-34034

CVSS3: 9.1
nvd
больше 2 лет назад

Using "**" as a pattern in Spring Security configuration for WebFlux creates a mismatch in pattern matching between Spring Security and Spring WebFlux, and the potential for a security bypass.

debian логотип

CVE-2023-34034

CVSS3: 9.1
debian
больше 2 лет назад

Using "**" as a pattern in Spring Security configuration for WebFlux ...

github логотип

GHSA-3h6f-g5f3-gc4w

CVSS3: 9.1
github
больше 2 лет назад

Access Control Bypass in Spring Security

EPSS

Процентиль: 98%
0.47909
Средний

9.1 Critical

CVSS3

9.4 Critical

CVSS2