8.5высокая
BDU:2024-02143 (CVE-2024-22257)
Уязвимость класса AuthenticatedVoter Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2024-03-20
Описание
Уязвимость класса AuthenticatedVoter Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security связана с недостатками разграничения доступа при обработке параметра null. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Затрагиваемое ПО и версии
Spring Security (от 6.2.0 до 6.2.2 включительно)Spring Security (от 6.1.0 до 6.1.7 включительно)Spring Security (от 6.0.0 до 6.0.9 включительно)Spring Security (от 5.8.0 до 5.8.10 включительно)Spring Security (от 5.7.0 до 5.7.11 включительно)Программный комплекс информационной системы «Формирование ПД» (до RU.53305691.00007-03)
Способ устранения
Использование рекомендаций:
https://spring.io/security/cve-2024-22257
https://github.com/spring-projects/spring-security/commit/5a7f12f1a9fdb4edaab6f61495f1d781a7273b61
Оценка CVSS
| Балл | 8.5 — высокая опасность |
Источники и патчи