Spring Data Commons, versions prior to 1.13 to 1.13.10, 2.0 to 2.0.5, and older unsupported versions, contain a property binder vulnerability caused by improper neutralization of special elements. An unauthenticated remote malicious user (or attacker) can supply specially crafted request parameters against Spring Data REST backed HTTP resources or using Spring Data's projection-based request payload binding hat can lead to a remote code execution attack.
oryginał ENCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Ignite
APPApache1.0.01.0.1 – 2.5.0Broadcom Spring Data Commons
APPBroadcom1.13.0 – 1.13.102.0.0 – 2.0.5≤ 1.12.10Oracle Financial Services Crime And Compliance Management Studio
APPOracle8.0.8.2.08.0.8.3.0Pivotal Software Spring Data Rest
APPPivotal Software3.0.0 – 3.0.5VMware Spring Data Rest
APPVmware2.6.0 – 2.6.10≤ 2.5.10
CISA KEV — szczegółyi
- Dostawcai
- VMware Tanzu
- Produkti
- Spring Data Commons
- Data dodania do KEVi
- 25 marca 2022
- Termin remediation (USA)i
- 15 kwietnia 2022(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj aktualizacje zgodnie z instrukcjami producenta.
▸ Pokaż oryginał (EN)
Apply updates per vendor instructions.
Spring Data Commons zawiera lukę w bindowaniu właściwości, która może pozwolić atakującemu na wykonanie zdalnego kodu (RCE).
▸ Pokaż oryginał (EN)
Spring Data Commons contains a property binder vulnerability which can allow an attacker to perform remote code execution.
Powiązane podatności
Apache Ignite: pominięcie filtrów deserializacji umożliwia RCE
In spring security versions prior to 5.4.11+, 5.5.7+ , 5.6.4+ and older unsupported versions, RegexRequestMatc...
Apache Shiro before 1.8.0, when using Apache Shiro with Spring Boot, a specially crafted HTTP request may caus...
Apache Ignite uses H2 database to build SQL distributed execution engine. H2 provides SQL functions which coul...
In Apache Ignite before 2.4.8 and 2.5.x before 2.5.3, the serialization mechanism does not have a list of clas...