CVE-2023-20861

Опубликовано: 20 мар. 2023

Источник: redhat

CVSS3: 5.3

Описание

In Spring Framework versions 6.0.0 - 6.0.6, 5.3.0 - 5.3.25, 5.2.0.RELEASE - 5.2.22.RELEASE, and older unsupported versions, it is possible for a user to provide a specially crafted SpEL expression that may cause a denial-of-service (DoS) condition.

A flaw found was found in Spring Framework. This flaw allows a malicious user to use a specially crafted SpEL expression that causes a denial of service (DoS).

Затронутые пакеты

Платформа	Пакет	Состояние
A-MQ Clients 2	springframework	Not affected
Logging Subsystem for Red Hat OpenShift	openshift-logging/elasticsearch6-rhel8	Not affected
Migration Toolkit for Applications 6	org.keycloak-keycloak-parent	Not affected
Migration Toolkit for Runtimes	org.keycloak-keycloak-parent	Not affected
Red Hat Data Grid 8	springframework	Not affected
Red Hat Decision Manager 7	springframework	Out of support scope
Red Hat Enterprise Linux 8	log4j:2/log4j	Not affected
Red Hat Enterprise Linux 9	log4j	Not affected
Red Hat Integration Camel K 1	springframework	Not affected
Red Hat Integration Camel Quarkus 1	springframework	Not affected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-770

https://bugzilla.redhat.com/show_bug.cgi?id=2180530springframework: Spring Expression DoS Vulnerability

5.3 Medium

CVSS3

Связанные уязвимости

CVE-2023-20861

CVSS3: 6.5

ubuntu

около 2 лет назад

CVE-2023-20861

CVSS3: 6.5

nvd

около 2 лет назад

CVE-2023-20861

CVSS3: 6.5

debian

около 2 лет назад

In Spring Framework versions 6.0.0 - 6.0.6, 5.3.0 - 5.3.25, 5.2.0.RELE ...

GHSA-564r-hj7v-mcr5

CVSS3: 6.5

github

около 2 лет назад

Spring Framework vulnerable to denial of service via specially crafted SpEL expression

BDU:2023-01834

CVSS3: 6.5

fstec

около 2 лет назад

Уязвимость программной платформы Spring Framework, связанная с неограниченным распределением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

5.3 Medium

CVSS3