ГлавнаяБаза уязвимостей БДУ → BDU:2024-02091
9.4высокая

BDU:2024-02091 (CVE-2024-22259)

Уязвимость компонента анализа URL-адресов UriComponentsBuilder программной платформы Spring Framework, позволяющая нарушителю осуществить SSRF-атаку
Опубликовано: 2024-03-18
Описание

Уязвимость компонента анализа URL-адресов UriComponentsBuilder программной платформы Spring Framework существует из-за недостаточной валидации вводимых пользователем данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку

Затрагиваемое ПО и версии
Spring Framework (от 5.3.0 до 5.3.32 включительно)Spring Framework (от 6.0.0 до 6.0.17 включительно)Spring Framework (от 6.1.0 до 6.1.4 включительно)Программный комплекс информационной системы «Формирование ПД» (до RU.53305691.00007-03)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- использование антивирусного программного обеспечения для контроля переходов на недоверенные URL-адреса

Использование рекомендаций производителя:
https://spring.io/security/cve-2024-22259

Оценка CVSS
Балл9.4 — высокая опасность
Источники и патчи
https://security.snyk.io/vuln/SNYK-JAVA-ORGSPRINGFRAMEWORK-6444790https://spring.io/security/cve-2024-22259
Проверьте безопасность своего сайта и почты → Полная проверка домена