Описание
In Spring Cloud Contract, versions 4.1.x prior to 4.1.1, versions 4.0.x prior to 4.0.5, and versions 3.1.x prior to 3.1.10, test execution is vulnerable to local information disclosure via temporary directory created with unsafe permissions through the shaded com.google.guava:guava dependency in the org.springframework.cloud:spring-cloud-contract-shade dependency.
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 3.1.0 (включая) до 3.1.10 (исключая)Версия от 4.0.0 (включая) до 4.0.5 (исключая)
Одно из
cpe:2.3:a:vmware:spring_cloud_contract:*:*:*:*:*:*:*:*
cpe:2.3:a:vmware:spring_cloud_contract:*:*:*:*:*:*:*:*
cpe:2.3:a:vmware:spring_cloud_contract:4.1.0:*:*:*:*:*:*:*
EPSS
Процентиль: 27%
0.00095
Низкий
3.3 Low
CVSS3
5.5 Medium
CVSS3
Дефекты
CWE-732
CWE-377
Связанные уязвимости
CVSS3: 3.3
github
около 2 лет назад
Spring Cloud Contract vulnerable to local information disclosure
EPSS
Процентиль: 27%
0.00095
Низкий
3.3 Low
CVSS3
5.5 Medium
CVSS3
Дефекты
CWE-732
CWE-377