[TLP:CLEAR] VMware opravuje 2 zranitelnosti v produktech Spring Security a Spring Framework
VMware opravuje 2 vysoce závažné zranitelnosti v produktech Spring Security a Spring Framework. Produkty a jejich opravy: Spring Security - 6.2.3, 6.1.8, 6.0.10, 5.8.11, 5.7.12 Spring Framework - 6.1.5, 6.0.18, 5.3.33
Neautentizovanému vzdálenému útočníkovi je ve Spring Security umožněno narušit řízení přístupu, pokud je přímo využívána komponenta "AuthenticatedVoter#vote" s nulovým parametrem "Authentication" [1].
Zranitelnost se nachází v produktu Spring Security ve verzích (<5.7.12) OR (>=5.8.0 AND <5.8.11) OR (>=6.0.0 AND <6.1.8) OR (>=6.2.0 AND <6.2.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Více informací:
- CVE-2024-22257 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-287: Improper Authentication at cwe.mitre.org
Zranitelnost byla veřejně oznámena 18. 3. 2024.
Neautentizovanému vzdálenému útočníkovi je ve Spring Framework umožněno vykonat útoky typu open redirect nebo server-side request forgery (SSRF) [2].
Zranitelnost se nachází v produktu Spring Framework ve verzích (>=6.1.0 AND <6.1.5) OR (>=6.0.0 AND <6.0.18) OR (<5.3.33).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
Více informací:
- CVE-2024-22259 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-601: URL Redirection to Untrusted Site ('Open Redirect') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 15. 3. 2024.
Publikovala Michaela Mačalíková dne 20. 3. 2024.
