Bezpečnostné varovanie V20180522-01
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP WHITE |
CVSS Skóre |
9.8 |
Identifikátor |
Pivotal Software Spring Framework Multiple Vulnerabilities |
Popis |
Spoločnosť Pivotal vydala bezpečnostné aktualizácie na svoje produkty frameworku Pivotal Software Spring, ktoré opravujú viaceré bezpečnostné zraniteľnosti. Kritická zraniteľnosť v komponente Spring Security OAuth spočíva v nesprávnom overovaním používateľských vstupov a vzdialený neautentifikovaný útočník by ju mohol prostredníctvom podvrhnutia špeciálnej upravenej požiadavky na autorizáciu zneužiť na vykonanie škodlivého kódu. Ďalšia kritická zraniteľnosť spočíva v nesprávnej implementácii bezpečnostných mechanizmov v metóde Spring Security. Vzdialený neautentifikovaný útočník by túto zraniteľnosť mohol prostredníctvom podvrhnutia škodlivej požiadavky zneužiť na neoprávnený prístup do systému. Tretia zraniteľnosť sa nachádza v komponente Spring Data Commons XMLBeam a vzdialený neautentifikovaný útočník by ju mohol prostredníctvom podvrhnutia škodlivých parametrov zneužiť na neoprávnený prístup k citlivým údajom. Poslednú zraniteľnosť v module spring-messaging by vzdialený neautentifikovaný útočník mohol zneužiť na realizáciu ReDoS (Regular Expression Denial of Service) útoku na cieľový systém a spôsobiť zneprístupnenie služby. |
Dátum prvého zverejnenia varovania |
14.05.2018 (posledná aktualizácia 21.05.2018) |
CVE |
CVE-2018-1257, CVE-2018-1258, CVE-2018-1259, CVE-2018-1260 |
Zasiahnuté systémy |
Pivotal Software Spring Framework |
Následky |
Vykonanie škodlivého kódu, Zneprístupnenie služby, Neoprávnený prístup do systému, Neoprávnený prístup k citlivým údajom |
Odporúčania |
Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. |
« Späť na zoznam