L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Pivotal Spring Framework

bulletin de vulnérabilité informatique CVE-2018-15801

Spring Framework : élévation de privilèges via JWT Issuer Validation

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via JWT Issuer Validation de Spring Framework, afin d'élever ses privilèges.
Produits concernés : Spring Framework.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : compte utilisateur.
Date création : 19/12/2018.
Références : CVE-2018-15801, VIGILANCE-VUL-28058.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via JWT Issuer Validation de Spring Framework, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2018-15756

Spring Framework : déni de service via Complex Range Requests

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Complex Range Requests de Spring Framework, afin de mener un déni de service.
Produits concernés : Spring Framework.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : client internet.
Date création : 17/10/2018.
Références : CVE-2018-15756, VIGILANCE-VUL-27548.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Complex Range Requests de Spring Framework, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2018-11040

Spring Framework : obtention d'information via Cross-Domain Requests

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Cross-Domain Requests de Spring Framework, afin d'obtenir des informations sensibles.
Produits concernés : Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 15/06/2018.
Références : cpuapr2019, cpujan2019, cpuoct2018, CVE-2018-11040, VIGILANCE-VUL-26440.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Cross-Domain Requests de Spring Framework, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-11039

Spring Framework : obtention d'information via Cross Site Tracing

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Cross Site Tracing de Spring Framework, afin d'obtenir des informations sensibles.
Produits concernés : Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Grid Computing, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/INSIGHT, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 15/06/2018.
Références : cpuapr2019, cpujan2019, cpuoct2018, CVE-2018-11039, VIGILANCE-VUL-26439.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Cross Site Tracing de Spring Framework, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2018-1263

Spring Integration Zip : traversée de répertoire

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires de Spring Integration Zip, afin de créer un fichier situé hors de la racine du service. Cette vulnérabilité fait partie de la famille Zip Slip (VIGILANCE-VUL-26357).
Produits concernés : Spring Framework.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : document.
Date création : 08/06/2018.
Références : CVE-2018-1263, VIGILANCE-VUL-26358.

Description de la vulnérabilité

Un attaquant peut traverser les répertoires de Spring Integration Zip, afin de créer un fichier situé hors de la racine du service. Cette vulnérabilité fait partie de la famille Zip Slip (VIGILANCE-VUL-26357).
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2018-1261

Spring Integration Zip : traversée de répertoire

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires de Spring Integration Zip, afin de créer un fichier situé hors de la racine du service. Cette vulnérabilité fait partie de la famille Zip Slip (VIGILANCE-VUL-26357).
Produits concernés : Spring Framework.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : document.
Date création : 09/05/2018.
Références : CVE-2018-1261, VIGILANCE-VUL-26092.

Description de la vulnérabilité

Un attaquant peut traverser les répertoires de Spring Integration Zip, afin de créer un fichier situé hors de la racine du service. Cette vulnérabilité fait partie de la famille Zip Slip (VIGILANCE-VUL-26357).
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2018-1260

Spring Security OAuth : exécution de code

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité de Spring Security OAuth, afin d'exécuter du code.
Produits concernés : Spring Framework.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : client internet.
Date création : 09/05/2018.
Références : CVE-2018-1260, VIGILANCE-VUL-26091.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité de Spring Security OAuth, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2018-1259

Spring Data : injection d'entité XML externe

Synthèse de la vulnérabilité

Un attaquant peut transmettre des données XML malveillantes à Spring Data, afin de lire un fichier, de scanner des sites, ou de mener un déni de service.
Produits concernés : Spring Framework.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service.
Provenance : document.
Date création : 09/05/2018.
Références : CVE-2018-1259, VIGILANCE-VUL-26090.

Description de la vulnérabilité

Un attaquant peut transmettre des données XML malveillantes à Spring Data, afin de lire un fichier, de scanner des sites, ou de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-1258

Spring Framework : élévation de privilèges via Spring Security Method

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Spring Security Method de Spring Framework, afin d'élever ses privilèges.
Produits concernés : Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : compte utilisateur.
Date création : 09/05/2018.
Références : cpuapr2019, cpujan2019, cpuoct2018, CVE-2018-1258, VIGILANCE-VUL-26089.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Spring Security Method de Spring Framework, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2018-1257

Spring Framework : déni de service via Spring-messaging

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Spring-messaging de Spring Framework, afin de mener un déni de service.
Produits concernés : Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Tuxedo, Oracle Virtual Directory, WebLogic, Spring Framework, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Grid Computing, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/INSIGHT, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Date création : 09/05/2018.
Références : cpuapr2019, cpujan2019, cpuoct2018, CVE-2018-1257, VIGILANCE-VUL-26088.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Spring-messaging de Spring Framework, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Pivotal Spring Framework :