Katalog CVE

Aktywnie wykorzystywana w atakach

VMware Tanzu Spring Data Commons Property Binder Vulnerability

VMware Tanzu — Spring Data Commons · Figuruje w katalogu CISA KEV od 2022-03-25. Oznacza to potwierdzone ataki w środowisku produkcyjnym.

Wymagane działanie: Apply updates per vendor instructions.

CVE-2018-1273

KrytyczneCVSS 9.8KEV
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Bardzo wysokie ryzyko
95.65%

Percentyl 100 — wyżej niż 100% wszystkich znanych CVE

Streszczenie

Podatność w Spring Data Commons (wersje 1.13 do 1.13.10, 2.0 do 2.0.5 oraz starsze niewspierane) wynika z nieprawidłowej neutralizacji specjalnych elementów w mechanizmie wiązania właściwości. Nieuwierzytelniony zdalny atakujący może wysłać specjalnie spreparowane parametry żądania do zasobów HTTP opartych na Spring Data REST lub wykorzystać wiązanie ładunku żądania oparte na projekcjach Spring Data, co może prowadzić do zdalnego wykonania kodu.

Ocena ryzyka

Ryzyko dla organizacji obejmuje możliwość zdalnego wykonania kodu przez nieuwierzytelnionego atakującego, co może skutkować pełnym przejęciem kontroli nad serwerem aplikacji, kradzieżą danych lub zakłóceniem działania usług.

Rekomendacja

Należy niezwłocznie zaktualizować Spring Data Commons do wersji 1.13.11 lub 2.0.6 albo nowszej. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do zasobów Spring Data REST tylko dla zaufanych sieci i użytkowników.

Oryginalny opis (angielski, źródło NVD)

Spring Data Commons, versions prior to 1.13 to 1.13.10, 2.0 to 2.0.5, and older unsupported versions, contain a property binder vulnerability caused by improper neutralization of special elements. An unauthenticated remote malicious user (or attacker) can supply specially crafted request parameters against Spring Data REST backed HTTP resources or using Spring Data's projection-based request payload binding hat can lead to a remote code execution attack.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS