BDU:2022-06726

BDU

КритическийПодтвержденаЭксплойт есть

Уязвимость класса SimpleEvaluationContext платформы управления данными Spring Data Commons и фреймворка для создания веб-сервисов Spring Da…

CVSS

9.8

Критический

EPSS

0.00

Опубликовано

2022-01-01

Обновлено

2022-01-01

Описание

Уязвимость класса SimpleEvaluationContext платформы управления данными Spring Data Commons и фреймворка для создания веб-сервисов Spring Data REST связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально созданных запросов

Теги · CWE

Без аутентификации

Затронутые продукты

Apache software foundation IgniteOracle corp. Oracle financial services crime and compliance management studioOracle corp. Oracle financial services crime and compliance management studioPivotal software inc. Spring data commonsPivotal software inc. Spring data commonsPivotal software inc. Spring data restPivotal software inc. Spring data rest

Вектор CVSS

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Хронология

2022-01-01

Опубликована

2022-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: U

Неизменная (U)

Воздействие на конфиденциальность

C: H

Высокое (H)

Воздействие на целостность

I: H

Высокое (H)

Воздействие на доступность

A: H

Высокое (H)

Индикаторы эксплуатации

EPSS

0.000 · p0

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

BDU:2022-06726

bdu_exploit · https://bdu.fstec.ru/vul

Enterprise

CVE-2018-1273

github-poc · https://github.com/hdgokani/CVE-2018-1273

Enterprise

Затронутые продукты

Oracle

Oracle Financial Services Crime And Compliance Management Studio

Apache

Ignite

Pivotal Software

Spring Data Rest Spring Data Commons

Продукт	Вендор	Статус
ignite	apache software foundation	Отслеживается
oracle financial services crime and compliance management studio	oracle corp.	Отслеживается
oracle financial services crime and compliance management studio	oracle corp.	Отслеживается
spring data commons	pivotal software inc.	Отслеживается
spring data commons	pivotal software inc.	Отслеживается
spring data rest	pivotal software inc.	Отслеживается
spring data rest	pivotal software inc.	Отслеживается

Источники данных

BDU

Связанные уязвимости

CVE-2018-1273

Внешние ссылки

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-1273@http://mail-archives.apache.org/mod_mbox/ignite-dev/201807.mbox/%3CCAK0qHnqzfzmCDFFi6c5Jok19zNkVCz5Xb4sU%3D0f2J_1i4p46zQ%40mail.gmail.com%3E@https://pivotal.io/security/cve-2018-1273@https://www.oracle.com/security-alerts/cpujul2022.html@https://jira.spring.io/browse/DATACMNS-1282@https://github.com/spring-projects/spring-data-commons/commit/b1a20ae1e82a63f99b3afc6f2aaedb3bf4dc432a@https://github.com/spring-projects/spring-data-commons/commit/ae1dd2741ce06d44a0966ecbd6f47beabde2b653@https://docs.spring.io/spring-data/jpa/docs/current/reference/html/#core.web.binding@https://nvd.nist.gov/vuln/detail/CVE-2018-1273@https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv