Куда я попал?
CVE-2024-38827
PUBLISHED
24.01.2025
CNA: vmware
Spring Security Authorization Bypass for Case Sensitive Comparisons
Обновлено:
02.12.2024
The usage of String.toLowerCase() and String.toUpperCase() has some Locale dependent exceptions that could potentially result in authorization rules not working properly.
CWE
| Идентификатор | Описание |
|---|---|
| CWE-639 | CWE-639 Authorization Bypass Through User-Controlled Key |
БДУ ФСТЭК
| Идентификатор | Описание |
|---|---|
| BDU:2024-10377 | Уязвимость функций String.toLowerCase() и String.toUpperCase() Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, позволяющая нарушителю обойти процесс авторизации |
CVSS
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 4.8 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N |
Доп. Информация
Product Status
| Spring Security | |||||
|---|---|---|---|---|---|
| Product: | Spring Security | ||||
| Vendor: | Spring by VMware Tanzu | ||||
| Default status: | unaffected | ||||
| Версии: |
|
||||
Ссылки
CISA ADP Vulnrichment
Обновлено:
02.12.2024
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.
SSVC
| Exploitation | Automatable | Technical Impact | Версия | Дата доступа |
|---|---|---|---|---|
| none | no | partial | 2.0.3 | 02.12.2024 |
CVE Program Container
Обновлено:
24.01.2025
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.
Ссылки
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.