CVE-2020-5407

Опубликовано: 13 мая 2020

Источник: nvd

CVSS3: 8.8

CVSS2: 6.5

EPSS Низкий

Описание

Spring Security versions 5.2.x prior to 5.2.4 and 5.3.x prior to 5.3.2 contain a signature wrapping vulnerability during SAML response validation. When using the spring-security-saml2-service-provider component, a malicious user can carefully modify an otherwise valid SAML response and append an arbitrary assertion that Spring Security will accept as valid.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:pivotal_software:spring_security:*:*:*:*:*:*:*:*

Версия от 5.2.0 (включая) до 5.2.4 (исключая)

cpe:2.3:a:pivotal_software:spring_security:*:*:*:*:*:*:*:*

Версия от 5.3.0 (включая) до 5.3.2 (исключая)

EPSS

Процентиль: 71%

0.00665

Низкий

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-347

Связанные уязвимости

CVE-2020-5407

CVSS3: 8.8

ubuntu

больше 5 лет назад

CVE-2020-5407

CVSS3: 8.8

debian

больше 5 лет назад

Spring Security versions 5.2.x prior to 5.2.4 and 5.3.x prior to 5.3.2 ...

GHSA-48rw-j489-928m

CVSS3: 8.8

github

больше 5 лет назад

Signature wrapping vulnerability in Spring Security

BDU:2021-00257

CVSS3: 8.8

fstec

почти 6 лет назад

Уязвимость компонента spring-security-saml2-service-provider Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

EPSS

Процентиль: 71%

0.00665

Низкий

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-347