L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Spring Framework

bulletin de vulnérabilité informatique CVE-2018-1199

Spring Framework : élévation de privilèges via les paramètres de requête

Synthèse de la vulnérabilité

Un attaquant peut soumettre une URL à Spring Framework avec un codage spécial des paramètres de requête, afin de contourner des mécanismes de filtrage.
Produits concernés : Spring Framework.
Gravité : 2/4.
Conséquences : accès/droits privilégié.
Provenance : client internet.
Date création : 30/01/2018.
Références : CVE-2018-1199, VIGILANCE-VUL-25178.

Description de la vulnérabilité

Un attaquant peut soumettre une URL à Spring Framework avec un codage spécial des paramètres de requête, afin de contourner des mécanismes de filtrage.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-8046

Pivotal Spring : exécution de code via PATCH Requests

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via PATCH Requests de Pivotal Spring, afin d'exécuter du code.
Produits concernés : Spring Framework.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Date création : 28/11/2017.
Références : CERTFR-2018-AVI-111, CVE-2017-8046, VIGILANCE-VUL-24553.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via PATCH Requests de Pivotal Spring, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2017-8045

Pivotal Spring AMQP : exécution de code via Message

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Message de Pivotal Spring AMQP, afin d'exécuter du code.
Produits concernés : Spring Framework.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Date création : 28/11/2017.
Références : CVE-2017-8045, VIGILANCE-VUL-24552.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Message de Pivotal Spring AMQP, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2017-8039

Pivotal Spring Web Flow : obtention d'information

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données de Pivotal Spring Web Flow, afin d'obtenir des informations sensibles.
Produits concernés : Spring Framework.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Date création : 28/11/2017.
Références : CVE-2017-8039, VIGILANCE-VUL-24551.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données de Pivotal Spring Web Flow, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2017-8040 CVE-2017-8041 CVE-2017-8044

Pivotal Single Sign-On for PCF : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Pivotal Single Sign-On for PCF.
Produits concernés : Spring Framework.
Gravité : 2/4.
Conséquences : accès/droits client, lecture de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 28/11/2017.
Références : CVE-2017-8040, CVE-2017-8041, CVE-2017-8044, VIGILANCE-VUL-24550.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Pivotal Single Sign-On for PCF.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-4995

Pivotal Spring Security : exécution de code via Jackson Configuration

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Jackson Configuration de Pivotal Spring Security, afin d'exécuter du code.
Produits concernés : Spring Framework.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Date création : 28/11/2017.
Références : CST-7122, CST-7123, CST-7124, CST-7125, CST-7126, CST-7127, CST-7128, CST-7129, CST-7130, CST-7131, CVE-2017-4995, VIGILANCE-VUL-24549.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Jackson Configuration de Pivotal Spring Security, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-8028

Spring-LDAP : élévation de privilèges via userSearch/STARTTLS

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via userSearch/STARTTLS de Spring-LDAP, afin d'élever ses privilèges.
Produits concernés : Debian, Spring Framework.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : client intranet.
Date création : 17/10/2017.
Références : CST-7122, CST-7123, CST-7124, CST-7125, CST-7126, CST-7127, CST-7128, CST-7129, CST-7130, CST-7131, CVE-2017-8028, DLA-1180-1, DSA-4046-1, RHSA-2018:0319-01, VIGILANCE-VUL-24159.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via userSearch/STARTTLS de Spring-LDAP, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2016-9878

Spring Framework : traversée de répertoire via ResourceServlet

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires via ResourceServlet de Spring Framework, afin de lire un fichier situé hors de la racine du service.
Produits concernés : Debian, Fedora, QRadar SIEM, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Percona Server, Spring Framework, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Grid Computing, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/INSIGHT, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 22/12/2016.
Références : 1996375, 2015813, CST-7122, CST-7123, CST-7124, CST-7125, CST-7126, CST-7127, CST-7128, CST-7129, CST-7130, CST-7131, CVE-2016-9878, DLA-1853-1, FEDORA-2016-f341d71730, RHSA-2017:3115-01, VIGILANCE-VUL-21453.

Description de la vulnérabilité

Le produit Spring Framework dispose d'un service web.

Cependant, les données provenant de l'utilisateur sont directement insérées dans un chemin d'accès. Les séquences comme "/.." permettent alors de remonter dans l'arborescence.

Un attaquant peut donc traverser les répertoires via ResourceServlet de Spring Framework, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2016-5007

Spring Framework : élévation de privilèges via une configuration incohérente

Synthèse de la vulnérabilité

Un attaquant peut accéder à des parties normalement privées d'une application réalisée avec Spring Framework, afin d'obtenir des informations.
Produits concernés : QRadar SIEM, Spring Framework, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Grid Computing, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/INSIGHT, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : client internet.
Date création : 08/07/2016.
Date révision : 11/07/2016.
Références : 2015813, CST-7122, CST-7123, CST-7124, CST-7125, CST-7126, CST-7127, CST-7128, CST-7129, CST-7130, CST-7131, CVE-2016-5007, VIGILANCE-VUL-20049.

Description de la vulnérabilité

Le produit Spring Framework sert à réaliser des applications Web.

Le module d'extension Spring Security gère les autorisations d'accès. Spring Frameword et Spring Security ont chacun une configuration indiquant comment traiter une classe d'URL. Cependant, des différences dans la normalisation des motifs d'URLs entre les 2 modules Spring font que des parties de l'application qui devraient être à accès restreint par Spring Security sont en fait directement traitées par Spring Framework et sont donc librement accessibles.

Un attaquant peut donc accéder à des parties normalement privées d'une application réalisée avec Spring Framework, afin d'obtenir des informations.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2016-2173

Spring AMQP : exécution de code via DefaultDeserializer

Synthèse de la vulnérabilité

Un attaquant peut envoyer un message malveillant vers Spring AMQP, afin d'exécuter du code.
Produits concernés : Fedora, Spring Framework.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Date création : 12/04/2016.
Références : CST-7122, CST-7123, CST-7124, CST-7125, CST-7126, CST-7127, CST-7128, CST-7129, CST-7130, CST-7131, CVE-2016-2173, FEDORA-2016-6cf17ad0df, FEDORA-2016-f099190fee, VIGILANCE-VUL-19343.

Description de la vulnérabilité

Le produit Spring AMQP utilise org.springframework.core.serializer.DefaultDeserializer pour désérialiser des données.

Cependant, les données sérialisées peuvent contenir un objet conduisant à l'exécution de code.

Un attaquant peut donc envoyer un message malveillant vers Spring AMQP, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Spring Framework :