[TLP:CLEAR] VMware opravuje zranitelnost ve Spring Framework

VMware verzemi 6.2.8, 6.1.21 a 6.0.29 opravuje 1 zranitelnost nacházející se ve Spring Framework [1].

Spring Framework - reflected file download (CVE-2025-41234) CVSS 6.5 (Medium)

Autentizovanému vzdálenému útočníkovi je kvůli nesprávnému zpracování hlavičky Content-Disposition při použití znakové sady mimo kódování ASCII a uživatelského vstupu bez sanitizace umožněno provést útok typu Reflected File Download (RFD), což může vést ke spuštění škodlivého kódu na straně uživatele po stažení podvrženého souboru. Produkt je zranitelný, pokud jsou splněny všechny konkrétní podmínky dle [1].

Zranitelnost se nachází v produktu Spring Framework ve verzích (>=6.2.0 AND <6.2.7) OR (>=6.1.0 AND <6.1.20) OR (>=6.0.5 AND <6.0.28).

CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:L/A:N

Více informací:

Zranitelnost byla veřejně oznámena 12. 6. 2025.


Za CESNET-CERTS Michaela Jarošová dne 16. 6. 2025.

CESNET CERTS Logo