CVE-2020-5410

Опубликовано: 02 июн. 2020

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Критический

Описание

Spring Cloud Config, versions 2.2.x prior to 2.2.3, versions 2.1.x prior to 2.1.9, and older unsupported versions allow applications to serve arbitrary configuration files through the spring-cloud-config-server module. A malicious user, or attacker, can send a request using a specially crafted URL that can lead to a directory traversal attack.

Ссылки

https://tanzu.vmware.com/security/cve-2020-5410
Vendor Advisory
https://tanzu.vmware.com/security/cve-2020-5410
Vendor Advisory
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-5410
US Government Resource

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:vmware:spring_cloud_config:*:*:*:*:*:*:*:*

Версия от 2.1.0 (включая) до 2.1.9 (исключая)

cpe:2.3:a:vmware:spring_cloud_config:*:*:*:*:*:*:*:*

Версия от 2.2.0 (включая) до 2.2.3 (исключая)

EPSS

Процентиль: 100%

0.94323

Критический

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-23

CWE-22

Связанные уязвимости

CVE-2020-5410

CVSS3: 7.5

redhat

больше 5 лет назад

GHSA-32xf-jwmv-9hf3

CVSS3: 7.5

github

больше 5 лет назад

Directory traversal attack in Spring Cloud Config

BDU:2020-04463

CVSS3: 7.5

fstec

больше 5 лет назад

Уязвимость модуля spring-cloud-config-server сервера Spring Cloud Config, позволяющая нарушителю получить доступ к защищаемой информации

EPSS

Процентиль: 100%

0.94323

Критический

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-23

CWE-22