Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - CVE - CVE-2024-38819

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - CVE CVE-2024-38819
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

CVE-2024-38819

PUBLISHED 10.01.2025

CNA: vmware

Обновлено: 19.12.2024
Applications serving static resources through the functional web frameworks WebMvc.fn or WebFlux.fn are vulnerable to path traversal attacks. An attacker can craft malicious HTTP requests and obtain any file on the file system that is also accessible to the process in which the Spring application is running.

CWE

Идентификатор Описание
CWE-22 CWE-22 Path Traversal

БДУ ФСТЭК

Идентификатор Описание
BDU:2024-08726 Уязвимость функциональных веб-фреймворков WebMvc.fn и WebFlux.f программной платформы Spring Framework, позволяющая нарушителю получить доступ к произвольному файлу в файловой системе

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО
Идентификатор Дата бюллетеня Описание
VULN:20250425-39 25.04.2025 Чтение локальных файлов в Oracle Communications Cloud Native Core Network Data Analytics Function
VULN:20250602-91 02.06.2025 Чтение локальных файлов в Dell Secure Connect Gateway

CVSS

Оценка Severity Версия Базовый вектор
7.5 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Доп. Информация

Product Status

Spring Framework
Product: Spring Framework
Vendor: N/A
Default status: unaffected
Версии:
Затронутые версии Статус
Наблюдалось в версии Spring Framework 5.3.0 - 5.3.40, 6.0.0 - 6.0.24, 6.1.0 - 6.1.13 affected
 

Ссылки

https://spring.io/security/cve-2024-38819

CISA ADP Vulnrichment

Обновлено: 20.12.2024
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
none yes partial 2.0.3 20.12.2024

CVE Program Container

Обновлено: 10.01.2025
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.

Ссылки

https://security.netapp.com/advisory/ntap-20250110-0010/
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.