Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2018-1273

Опубликовано: 11 апр. 2018
Источник: nvd
CVSS3: 9.8
CVSS2: 7.5
EPSS Критический

Описание

Spring Data Commons, versions prior to 1.13 to 1.13.10, 2.0 to 2.0.5, and older unsupported versions, contain a property binder vulnerability caused by improper neutralization of special elements. An unauthenticated remote malicious user (or attacker) can supply specially crafted request parameters against Spring Data REST backed HTTP resources or using Spring Data's projection-based request payload binding hat can lead to a remote code execution attack.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:pivotal_software:spring_data_commons:*:*:*:*:*:*:*:*
Версия до 1.12.10 (включая)
cpe:2.3:a:pivotal_software:spring_data_commons:*:*:*:*:*:*:*:*
Версия от 1.13.0 (включая) до 1.13.10 (включая)
cpe:2.3:a:pivotal_software:spring_data_commons:*:*:*:*:*:*:*:*
Версия от 2.0.0 (включая) до 2.0.5 (включая)
Конфигурация 2

Одно из

cpe:2.3:a:pivotal_software:spring_data_rest:*:*:*:*:*:*:*:*
Версия до 2.5.10 (включая)
cpe:2.3:a:pivotal_software:spring_data_rest:*:*:*:*:*:*:*:*
Версия от 2.6.0 (включая) до 2.6.10 (включая)
cpe:2.3:a:pivotal_software:spring_data_rest:*:*:*:*:*:*:*:*
Версия от 3.0.0 (включая) до 3.0.5 (включая)
Конфигурация 3

Одно из

cpe:2.3:a:apache:ignite:*:*:*:*:*:*:*:*
Версия от 1.0.1 (включая) до 2.5.0 (включая)
cpe:2.3:a:apache:ignite:1.0.0:-:*:*:*:*:*:*
cpe:2.3:a:apache:ignite:1.0.0:rc3:*:*:*:*:*:*
Конфигурация 4

Одно из

cpe:2.3:a:oracle:financial_services_crime_and_compliance_management_studio:8.0.8.2.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:financial_services_crime_and_compliance_management_studio:8.0.8.3.0:*:*:*:*:*:*:*

EPSS

Процентиль: 100%
0.94288
Критический

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-94
NVD-CWE-Other

Связанные уязвимости

redhat логотип

CVE-2018-1273

CVSS3: 9.8
redhat
почти 8 лет назад

Spring Data Commons, versions prior to 1.13 to 1.13.10, 2.0 to 2.0.5, and older unsupported versions, contain a property binder vulnerability caused by improper neutralization of special elements. An unauthenticated remote malicious user (or attacker) can supply specially crafted request parameters against Spring Data REST backed HTTP resources or using Spring Data's projection-based request payload binding hat can lead to a remote code execution attack.

github логотип

GHSA-4fq3-mr56-cg6r

CVSS3: 9.8
github
больше 7 лет назад

Spring Data Commons remote code injection vulnerability

fstec логотип

BDU:2022-06726

CVSS3: 9.8
fstec
почти 8 лет назад

Уязвимость класса SimpleEvaluationContext платформы управления данными Spring Data Commons и фреймворка для создания веб-сервисов Spring Data REST, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 100%
0.94288
Критический

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-94
NVD-CWE-Other