GHSA-48rw-j489-928m

Опубликовано: 05 июн. 2020

Источник: github

Github: Прошло ревью

CVSS3: 8.8

Описание

Signature wrapping vulnerability in Spring Security

Spring Security versions 5.2.x prior to 5.2.4 and 5.3.x prior to 5.3.2 contain a signature wrapping vulnerability during SAML response validation. When using the spring-security-saml2-service-provider component, a malicious user can carefully modify an otherwise valid SAML response and append an arbitrary assertion that Spring Security will accept as valid.

Ссылки

Пакеты

Наименование

org.springframework.security:spring-security-core

maven

Затронутые версииВерсия исправления

>= 5.2.0, < 5.2.4

5.2.4

Наименование

org.springframework.security:spring-security-core

maven

Затронутые версииВерсия исправления

>= 5.3.0, < 5.3.2

5.3.2

EPSS

Процентиль: 71%

0.00665

Низкий

8.8 High

CVSS3

CVE ID

CVE-2020-5407

Дефекты

CWE-347

Связанные уязвимости

CVE-2020-5407

CVSS3: 8.8

ubuntu

больше 5 лет назад

CVE-2020-5407

CVSS3: 8.8

nvd

больше 5 лет назад

CVE-2020-5407

CVSS3: 8.8

debian

больше 5 лет назад

Spring Security versions 5.2.x prior to 5.2.4 and 5.3.x prior to 5.3.2 ...

BDU:2021-00257

CVSS3: 8.8

fstec

почти 6 лет назад

Уязвимость компонента spring-security-saml2-service-provider Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

EPSS

Процентиль: 71%

0.00665

Низкий

8.8 High

CVSS3

CVE ID

CVE-2020-5407

Дефекты

CWE-347