Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-08880

Опубликовано: 25 окт. 2024
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Средний

Описание

Уязвимость функциональных веб-фреймворков WebMvc.fn и WebFlux.fn программной платформы Spring Framework вызвана недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфидециальность, целостность и доступность защищаемой информации

Вендор

Pivotal Software Inc.

Наименование ПО

Spring Framework

Версия ПО

до 5.7.13 (Spring Framework)
до 5.8.15 (Spring Framework)
до 6.0.13 (Spring Framework)
до 6.1.11 (Spring Framework)
до 6.2.7 (Spring Framework)
до 6.3.4 (Spring Framework)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://spring.io/security/cve-2024-38821

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.10078
Средний

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-38821

CVSS3: 7.4
redhat
больше 1 года назад

Spring WebFlux applications that have Spring Security authorization rules on static resources can be bypassed under certain circumstances. For this to impact an application, all of the following must be true: * It must be a WebFlux application * It must be using Spring's static resources support * It must have a non-permitAll authorization rule applied to the static resources support

nvd логотип

CVE-2024-38821

CVSS3: 9.1
nvd
больше 1 года назад

Spring WebFlux applications that have Spring Security authorization rules on static resources can be bypassed under certain circumstances. For this to impact an application, all of the following must be true: * It must be a WebFlux application * It must be using Spring's static resources support * It must have a non-permitAll authorization rule applied to the static resources support

github логотип

GHSA-c4q5-6c82-3qpw

CVSS3: 9.1
github
больше 1 года назад

Spring Security vulnerable to Authorization Bypass of Static Resources in WebFlux Applications

EPSS

Процентиль: 93%
0.10078
Средний

9.1 Critical

CVSS3

9.4 Critical

CVSS2