ГлавнаяБаза уязвимостей БДУ → BDU:2025-02072
7.8высокая

BDU:2025-02072

Уязвимость пакета org.springframework.web.multipart модуля Spring Web программной платформы Spring Framework, позволяющая нарушителю перезаписывать файлы, размещенные в директории веб-сервера
Опубликовано: 2025-02-26
Описание

Уязвимость пакета org.springframework.web.multipart модуля Spring Web программной платформы Spring Framework связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, перезаписывать файлы, размещенные в директории веб-сервера

Затрагиваемое ПО и версии
Spring Framework (до 6.2.2 включительно)
Способ устранения

Компенсирующие меры:
- ограничение возможности записи файлов в директорию с конфигурационными файлами сервера веб-приложений;
- ограничение возможности записи временных файлов, создаваемых сервлетами, за пределами выделенной директории;
- про IDS использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания попыток эксплуатации уязвимости.

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://srcincite.io/blog/2024/11/25/remote-code-execution-with-spring-properties.html
Проверьте безопасность своего сайта и почты → Полная проверка домена