CVE-2018-1257

Опубликовано: 09 мая 2018

Источник: redhat

CVSS3: 4.8

EPSS Низкий

Описание

Spring Framework, versions 5.0.x prior to 5.0.6, versions 4.3.x prior to 4.3.17, and older unsupported versions allows applications to expose STOMP over WebSocket endpoints with a simple, in-memory STOMP broker through the spring-messaging module. A malicious user (or attacker) can craft a message to the broker that can lead to a regular expression, denial of service attack.

Затронутые пакеты

Платформа	Пакет	Состояние
Red Hat JBoss A-MQ 6	spring	Not affected
Red Hat JBoss BRMS 5	spring	Not affected
Red Hat JBoss Data Virtualization 6	spring	Out of support scope
Red Hat JBoss Enterprise Application Platform 5	spring	Not affected
Red Hat JBoss Fuse 6	spring	Not affected
Red Hat JBoss Fuse Integration Service 2	spring	Fix deferred
Red Hat JBoss Fuse Service Works 6	spring	Not affected
Red Hat JBoss SOA Platform 5	spring	Out of support scope
Red Hat Mobile Application Platform 4	spring	Not affected
Red Hat OpenStack Platform 10 (Newton)	opendaylight	Not affected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Low

Дефект:

CWE-200

https://bugzilla.redhat.com/show_bug.cgi?id=1578578spring-framework: ReDoS Attack with spring-messaging

EPSS

Процентиль: 73%

0.00782

Низкий

4.8 Medium

CVSS3

Связанные уязвимости

CVE-2018-1257

CVSS3: 6.5

ubuntu

около 7 лет назад

CVE-2018-1257

CVSS3: 6.5

nvd

около 7 лет назад

CVE-2018-1257

CVSS3: 6.5

debian

около 7 лет назад

Spring Framework, versions 5.0.x prior to 5.0.6, versions 4.3.x prior ...

GHSA-rcpf-vj53-7h2m

CVSS3: 6.5

github

больше 6 лет назад

Denial of Service in org.springframework:spring-core

BDU:2019-01761

CVSS3: 6.5

fstec

около 7 лет назад

Уязвимость программной платформы Spring Framework, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 73%

0.00782

Низкий

4.8 Medium

CVSS3