exploitDog

GHSA-4gc7-5j7h-4qph

Опубликовано: 18 окт. 2024

Источник: github

Github: Прошло ревью

CVSS3: 5.3

Описание

Spring Framework DataBinder Case Sensitive Match Exception

The fix for CVE-2022-22968 made disallowedFields patterns in DataBinder case insensitive. However, String.toLowerCase() has some Locale dependent exceptions that could potentially result in fields not protected as expected.

Ссылки

Пакеты

Наименование

org.springframework:spring-context

maven

Затронутые версииВерсия исправления

>= 6.1.0, < 6.1.14

6.1.14

Наименование

org.springframework:spring-web

maven

Затронутые версииВерсия исправления

>= 6.1.0, < 6.1.14

6.1.14

Наименование

org.springframework:spring-web

maven

Затронутые версииВерсия исправления

>= 6.0.0, <= 6.0.24

Отсутствует

Наименование

org.springframework:spring-context

maven

Затронутые версииВерсия исправления

>= 6.0.0, <= 6.0.24

Отсутствует

Наименование

org.springframework:spring-context

maven

Затронутые версииВерсия исправления

<= 5.3.40

Отсутствует

Наименование

org.springframework:spring-web

maven

Затронутые версииВерсия исправления

<= 5.3.40

Отсутствует

EPSS

Процентиль: 9%

0.00036

Низкий

5.3 Medium

CVSS3

CVE ID

Дефекты

CWE-178

Связанные уязвимости

CVE-2024-38820

CVSS3: 3.1

ubuntu

8 месяцев назад

The fix for CVE-2022-22968 made disallowedFields patterns in DataBinder case insensitive. However, String.toLowerCase() has some Locale dependent exceptions that could potentially result in fields not protected as expected.

CVE-2024-38820

CVSS3: 3.1

nvd

8 месяцев назад

The fix for CVE-2022-22968 made disallowedFields patterns in DataBinder case insensitive. However, String.toLowerCase() has some Locale dependent exceptions that could potentially result in fields not protected as expected.

CVE-2024-38820

CVSS3: 3.1

debian

8 месяцев назад

The fix for CVE-2022-22968 made disallowedFieldspatterns in DataBinder ...

EPSS

Процентиль: 9%

0.00036

Низкий

5.3 Medium

CVSS3

CVE ID

Дефекты

CWE-178