Vulnérabilité dans Vmware Spring Security
Date de publication :
Un servlet est une classe Java permettant de créer dynamiquement des données au sein d'un serveur Http.
CVE-2022-22978[Score CVSS v3.1 : 8.2]
Une erreur de configuration de la classe RegexRequestMatcher sur certains moteurs de servlet permet à un attaquant de contourner la politique de sécurité.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Contournement de la politique de sécurité
Criticité
- Score CVSS v3.1: 8.2
La faille est activement exploitée
- Non
Un correctif existe
- Oui
Une mesure de contournement existe
- Non
La vulnérabilité exploitée est du type
Détails sur l’exploitation
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Les produits Spring Security aux versions 5.5.6, 5.5.7 et antérieures sont affectés par cette vulnérabilité.
Solutions ou recommandations
Mettre à jour Spring Security aux versions 5.5.7, 5.6.4 et suivantes. Des informations complémentaires sont disponibles ici.
Les produits Spring Security aux versions antérieures à 5.5.6, 5.5.7 ne seront pas pris en charge par les correctifs. Il est recommandé de mettre à jour Spring Security vers une version incluant les correctifs.