9.4критическая
BDU:2023-03799 (CVE-2023-34034)
Уязвимость Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, связанная с использованием «**» в качестве шаблона в конфигурации Spring Security для WebFlux, позволяющая нарушителю обойти существующие ограничения безопасности
Опубликовано: 2023-07-19
Описание
Уязвимость Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security связана с использованием «**» в качестве шаблона в конфигурации Spring Security для WebFlux. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения безопасности
Затрагиваемое ПО и версии
Spring Security (от 6.1.0 до 6.1.1 включительно)Spring Security (от 6.0.0 до 6.0.4 включительно)Spring Security (от 5.8.0 до 5.8.4 включительно)Spring Security (от 5.7.0 до 5.7.9 включительно)Spring Security (от 5.6.0 до 5.6.11 включительно)
Способ устранения
Использование рекомендаций производителя:
https://spring.io/security/cve-2023-34034
Оценка CVSS
| Балл | 9.4 — критическая опасность |
Источники и патчи