[TLP:CLEAR] VMware opravuje zranitelnost v produktu Spring Framework
VMware verzemi 6.1.4, 6.0.17 a 5.3.32 opravuje vysoce závažnou zranitelnost v produktu Spring Framework.
Neautentizovanému vzdálenému útočníkovi je umožněno provést útoky typu open redirect nebo server-side request forgery (SSRF) v aplikacích, které pro analýzu a validaci URL poskytnutých z vnějšího zdroje využívají komponentu 'UriComponentsBuilder' [1].
Zranitelnost se nachází v produktu Spring Framework ve verzích (>=6.1.0 AND <6.1.4) OR (>=6.0.0 AND <6.0.17) OR (>=5.3.0 AND <5.3.32).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
Více informací:
- CVE-2024-22243 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-601: URL Redirection to Untrusted Site ('Open Redirect') at cwe.mitre.org
- CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 21. 2. 2024.
Odkazy
Publikovala Michaela Mačalíková dne 27. 2. 2024.
