Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-03033

Опубликовано: 17 апр. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость Java-фреймворка для обеспечения безопасности промышленных приложений Spring Securityсвязана с неполной очисткой временных или вспомогательных ресурсов. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным или вызвать отказ в обслуживании

Вендор

NetApp Inc.
Pivotal Software Inc.

Наименование ПО

Active IQ Unified Manager for Microsoft Windows
Active IQ Unified Manager for VMware vSphere
Active IQ Unified Manager for Linux
Spring Security

Версия ПО

- (Active IQ Unified Manager for Microsoft Windows)
- (Active IQ Unified Manager for VMware vSphere)
- (Active IQ Unified Manager for Linux)
от 6.0.0 до 6.0.3 (Spring Security)
от 5.8.0 до 5.8.3 (Spring Security)
от 5.7.0 до 5.7.8 (Spring Security)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Spring Security:
https://spring.io/security/cve-2023-20862
Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20230526-0002/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 58%
0.00372
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2023-20862

CVSS3: 6.3
redhat
почти 3 года назад

In Spring Security, versions 5.7.x prior to 5.7.8, versions 5.8.x prior to 5.8.3, and versions 6.0.x prior to 6.0.3, the logout support does not properly clean the security context if using serialized versions. Additionally, it is not possible to explicitly save an empty security context to the HttpSessionSecurityContextRepository. This vulnerability can keep users authenticated even after they performed logout. Users of affected versions should apply the following mitigation. 5.7.x users should upgrade to 5.7.8. 5.8.x users should upgrade to 5.8.3. 6.0.x users should upgrade to 6.0.3.

nvd логотип

CVE-2023-20862

CVSS3: 6.3
nvd
почти 3 года назад

In Spring Security, versions 5.7.x prior to 5.7.8, versions 5.8.x prior to 5.8.3, and versions 6.0.x prior to 6.0.3, the logout support does not properly clean the security context if using serialized versions. Additionally, it is not possible to explicitly save an empty security context to the HttpSessionSecurityContextRepository. This vulnerability can keep users authenticated even after they performed logout. Users of affected versions should apply the following mitigation. 5.7.x users should upgrade to 5.7.8. 5.8.x users should upgrade to 5.8.3. 6.0.x users should upgrade to 6.0.3.

github логотип

GHSA-x873-6rgc-94jc

CVSS3: 6.3
github
почти 3 года назад

Spring Security logout not clearing security context

EPSS

Процентиль: 58%
0.00372
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2