[TLP:CLEAR] VMware Spring opravuje 3 zranitelnosti
VMware opravuje 3 zranitelnosti ve svých produktech. Produkty a jejich opravy: Spring Framework - 5.3.41, 6.0.25 a 6.1.14 [1][2] Spring Security - 5.7.13, 5.8.15, 6.0.13, 6.1.11, 6.2.7 a 6.3.4 [3]
Neautentizovanému vzdálenému útočníkovi je pomocí škodlivých HTTP požadavků umožněno získat jakýkoli soubor v souborovém systému, který je přístupný i procesu, v němž je spuštěna aplikace Spring [1].
Zranitelnost se nachází v produktu Spring Framework ve verzích (>=5.3.0 AND <=5.3.40) OR (>=6.0.0 AND <=6.0.24) OR (>=6.1.0 AND <=6.1.13).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2024-38819 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-35: Path Traversal: '.../...//' at cwe.mitre.org
Zranitelnost byla veřejně oznámena 17. 11. 2024.
Neautentizovanému vzdálenému útočníkovi je umožněno obejít ochranu některých polí, protože oprava pro CVE-2022-22968 změnila vzory disallowedFields v DataBinder na rozlišování bez ohledu na velikost písmen. Nicméně metoda String.toLowerCase() má některé výjimky závislé na "Locale", což může potenciálně vést k tomu, že některá pole nejsou chráněna podle očekávání [2].
Zranitelnost se nachází v produktu Spring Framework ve verzích (>=5.3.0 AND <=5.3.40) OR (>=6.0.0) OR (<=6.0.24) OR (>=6.1.0 AND <=6.1.13).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Více informací:
- CVE-2024-38820 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-178: Improper Handling of Case Sensitivity at cwe.mitre.org
Zranitelnost byla veřejně oznámena 17. 11. 2024.
Neautentizovanému vzdálenému útočníkovi je umožněno obejít autorizaci u statických zdrojů ve Spring WebFlux aplikacích, pokud se jedná o WebFlux aplikaci, která používá podporu pro statické zdroje Springu a má na tyto zdroje nastaveno autorizační pravidlo "non-permitAll" [3].
Zranitelnost se nachází v produktu Spring Security ve verzích (>=5.7.0 AND <=5.7.12) OR (>=5.8.0 AND <=5.8.14) OR (>=6.0.0) OR (<=6.0.12) OR (>=6.1.0 AND <=6.1.10) OR (>=6.2.0 AND <=6.2.6) OR (>=6.3.0 AND <=6.3.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Více informací:
- CVE-2024-38821 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zranitelnost byla veřejně oznámena 25. 10. 2024.