ГлавнаяБаза уязвимостей БДУ → BDU:2020-03500
5средняя

BDU:2020-03500 (CVE-2020-5397)

Уязвимость модулей spring-webmvc, spring-webflux программной платформы Spring Framework, позволяющая нарушителю осуществить межсайтовую подделку запросов
Опубликовано: 2020-07-24
Описание

Уязвимость модулей spring-webmvc, spring-webflux программной платформы Spring Framework связана с отсутствием защиты от межсайтовой подмены запросов (CSRF). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить межсайтовую подделку запросов

Затрагиваемое ПО и версии
WebLogic Server (12.2.1.3.0)Oracle Retail Order Broker (15.0)Oracle Retail Order Broker (16.0)WebLogic Server (12.2.1.4.0)Oracle Retail Predictive Application Server (15.0.3)Oracle Retail Predictive Application Server (16.0.3)Oracle Retail Assortment Planning (15.0)Oracle Retail Assortment Planning (16.0)Oracle Communications Element Manager (8.1.1)Oracle Communications Element Manager (8.2.0)Oracle Communications Session Report Manager (8.1.1)Oracle Communications Session Report Manager (8.2.0)Oracle Communications Session Route Manager (8.1.1)Oracle Communications Session Route Manager (8.2.0)Oracle Retail Financial Integration (15.0)Oracle Retail Financial Integration (16.0)Spring Framework (от 5.2.0 до 5.2.3)Communications BRM - Elastic Charging Engine (11.3)Communications BRM - Elastic Charging Engine (12.0)Oracle Communications Element Manager (8.2.1)Oracle Communications Session Report Manager (8.2.1)Oracle Communications Session Route Manager (8.2.1)Oracle Healthcare Master Person Index (4.0.2)Insurance Policy Administration J2EE (10.2.0)Insurance Policy Administration J2EE (10.2.4)Insurance Policy Administration J2EE (11.0.2)Insurance Policy Administration J2EE (11.1.0)Insurance Policy Administration J2EE (11.2.0)Oracle Insurance Rules Palette (10.2.0)Oracle Insurance Rules Palette (10.2.4)
Способ устранения

Использование рекомендаций:
Для Spring Framework:
https://tanzu.vmware.com/security/cve-2020-5397

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujul2020.html

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://tanzu.vmware.com/security/cve-2020-5397https://www.oracle.com/security-alerts/cpuapr2020.htmlhttps://www.oracle.com/security-alerts/cpujul2020.html
Проверьте безопасность своего сайта и почты → Полная проверка домена