ГлавнаяБаза уязвимостей БДУ → BDU:2024-02143
8.5высокая

BDU:2024-02143 (CVE-2024-22257)

Уязвимость класса AuthenticatedVoter Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2024-03-20
Описание

Уязвимость класса AuthenticatedVoter Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security связана с недостатками разграничения доступа при обработке параметра null. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Spring Security (от 6.2.0 до 6.2.2 включительно)Spring Security (от 6.1.0 до 6.1.7 включительно)Spring Security (от 6.0.0 до 6.0.9 включительно)Spring Security (от 5.8.0 до 5.8.10 включительно)Spring Security (от 5.7.0 до 5.7.11 включительно)Программный комплекс информационной системы «Формирование ПД» (до RU.53305691.00007-03)
Способ устранения

Использование рекомендаций:
https://spring.io/security/cve-2024-22257
https://github.com/spring-projects/spring-security/commit/5a7f12f1a9fdb4edaab6f61495f1d781a7273b61

Оценка CVSS
Балл8.5 — высокая опасность
Источники и патчи
https://docs.spring.io/spring-security/site/docs/4.0.x/apidocs/org/springframework/security/access/vote/AuthenticatedVoter.htmlhttps://spring.io/security/cve-2024-22257https://github.com/spring-projects/spring-security/issues/14715
Проверьте безопасность своего сайта и почты → Полная проверка домена