[TLP:CLEAR] VMware opravuje 2 zranitelnosti v produktech Spring Security a Spring Framework

VMware opravuje 2 vysoce závažné zranitelnosti v produktech Spring Security a Spring Framework. Produkty a jejich opravy: Spring Security - 6.2.3, 6.1.8, 6.0.10, 5.8.11, 5.7.12 Spring Framework - 6.1.5, 6.0.18, 5.3.33

VMware Spring Security - Broken Access Control (CVE-2024-22257) CVSS 8.2 (High)

Neautentizovanému vzdálenému útočníkovi je ve Spring Security umožněno narušit řízení přístupu, pokud je přímo využívána komponenta "AuthenticatedVoter#vote" s nulovým parametrem "Authentication" [1].

Zranitelnost se nachází v produktu Spring Security ve verzích (<5.7.12) OR (>=5.8.0 AND <5.8.11) OR (>=6.0.0 AND <6.1.8) OR (>=6.2.0 AND <6.2.3).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Více informací:

Zranitelnost byla veřejně oznámena 18. 3. 2024.

VMware Spring Framework - SSRF (CVE-2024-22259) CVSS 8.1 (High)

Neautentizovanému vzdálenému útočníkovi je ve Spring Framework umožněno vykonat útoky typu open redirect nebo server-side request forgery (SSRF) [2].

Zranitelnost se nachází v produktu Spring Framework ve verzích (>=6.1.0 AND <6.1.5) OR (>=6.0.0 AND <6.0.18) OR (<5.3.33).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

Více informací:

Zranitelnost byla veřejně oznámena 15. 3. 2024.


Publikovala Michaela Mačalíková dne 20. 3. 2024.

CESNET CERTS Logo