Уязвимость BDU:2024-03108

Идентификатор: BDU:2024-03108.

Наименование уязвимости: Уязвимость компонента анализа URL-адресов UriComponentsBuilder программной платформы Spring Framework, позволяющая нарушителю осуществить SSRF-атаку.

Описание уязвимости: Уязвимость компонента анализа URL-адресов UriComponentsBuilder программной платформы Spring Framework существует из-за недостаточной валидации вводимых пользователем данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку
Уязвимое ПО: Прикладное ПО информационных систем Pivotal Software Inc. Spring Framework от 6.1.0 до 6.1.6 | Прикладное ПО информационных систем Pivotal Software Inc. Spring Framework от 6.0.0 до 6.0.19 | Прикладное ПО информационных систем Pivotal Software Inc. Spring Framework от 5.3.0 до 5.3.34 | Прикладное ПО информационных систем ООО «НеМо» Программный комплекс информационной системы «Формирование ПД» до RU.53305691.00007-03 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 11.04.2024.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению:
Использование рекомендаций производителя:
https://spring.io/security/cve-2024-22262.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-22262.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://spring.io/security/cve-2024-22262
https://vuldb.com/pt/?id.260861