Описание
In Spring AMQP versions 2.2.0 - 2.2.18 and 2.3.0 - 2.3.10, the Spring AMQP Message object, in its toString() method, will deserialize a body for a message with content type application/x-java-serialized-object. It is possible to construct a malicious java.util.Dictionary object that can cause 100% CPU usage in the application if the toString() method is called.
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 2.2.0 (включая) до 2.2.18 (включая)Версия от 2.3.0 (включая) до 2.3.10 (включая)
Одно из
cpe:2.3:a:vmware:spring_advanced_message_queuing_protocol:*:*:*:*:*:*:*:*
cpe:2.3:a:vmware:spring_advanced_message_queuing_protocol:*:*:*:*:*:*:*:*
EPSS
Процентиль: 62%
0.00434
Низкий
6.5 Medium
CVSS3
6.8 Medium
CVSS2
Дефекты
CWE-502
CWE-502
Связанные уязвимости
CVSS3: 6.5
github
больше 3 лет назад
Deserialization of Untrusted Data in Spring AMQP
EPSS
Процентиль: 62%
0.00434
Низкий
6.5 Medium
CVSS3
6.8 Medium
CVSS2
Дефекты
CWE-502
CWE-502