Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-c4q5-6c82-3qpw

Опубликовано: 28 окт. 2024
Источник: github
Github: Прошло ревью
CVSS4: 9.3
CVSS3: 9.1

Описание

Spring Security vulnerable to Authorization Bypass of Static Resources in WebFlux Applications

Spring WebFlux applications that have Spring Security authorization rules on static resources can be bypassed under certain circumstances.

For this to impact an application, all of the following must be true:

  • It must be a WebFlux application
  • It must be using Spring's static resources support
  • It must have a non-permitAll authorization rule applied to the static resources support

Ссылки

Пакеты

Наименование

org.springframework.security:spring-security-web

maven
Затронутые версииВерсия исправления

< 5.7.13

5.7.13

Наименование

org.springframework.security:spring-security-web

maven
Затронутые версииВерсия исправления

>= 5.8.0, < 5.8.15

5.8.15

Наименование

org.springframework.security:spring-security-web

maven
Затронутые версииВерсия исправления

>= 6.2.0, < 6.2.7

6.2.7

Наименование

org.springframework.security:spring-security-web

maven
Затронутые версииВерсия исправления

>= 6.0.0, < 6.0.13

6.0.13

Наименование

org.springframework.security:spring-security-web

maven
Затронутые версииВерсия исправления

>= 6.1.0, < 6.1.11

6.1.11

Наименование

org.springframework.security:spring-security-web

maven
Затронутые версииВерсия исправления

>= 6.3.0, < 6.3.4

6.3.4

EPSS

Процентиль: 93%
0.10078
Средний

9.3 Critical

CVSS4

9.1 Critical

CVSS3

CVE ID

CVE-2024-38821

Дефекты

CWE-285
CWE-770

Связанные уязвимости

redhat логотип

CVE-2024-38821

CVSS3: 7.4
redhat
больше 1 года назад

Spring WebFlux applications that have Spring Security authorization rules on static resources can be bypassed under certain circumstances. For this to impact an application, all of the following must be true: * It must be a WebFlux application * It must be using Spring's static resources support * It must have a non-permitAll authorization rule applied to the static resources support

nvd логотип

CVE-2024-38821

CVSS3: 9.1
nvd
больше 1 года назад

Spring WebFlux applications that have Spring Security authorization rules on static resources can be bypassed under certain circumstances. For this to impact an application, all of the following must be true: * It must be a WebFlux application * It must be using Spring's static resources support * It must have a non-permitAll authorization rule applied to the static resources support

fstec логотип

BDU:2024-08880

CVSS3: 9.1
fstec
больше 1 года назад

Уязвимость функционального веб-фреймворка WebFlux.fn программной платформы Spring Framework, позволяющая нарушителю оказать воздействие на конфидециальность, целостность и доступность защищаемой информации

EPSS

Процентиль: 93%
0.10078
Средний

9.3 Critical

CVSS4

9.1 Critical

CVSS3

CVE ID

CVE-2024-38821

Дефекты

CWE-285
CWE-770