V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыДокументация
К каталогу
CVE-2022-22963
CVE
Критический KEVПодтвержденаЭксплойт есть

В Spring Cloud Function версий 3.1.6, 3.2.2 и более старых неподдерживаемых версий при использовании функциональности маршрутизации пользов…

CVSS
9.8
Критический
EPSS
0.94
p99
Опубликовано
2022-01-01
Обновлено
2022-08-25
Описание

В Spring Cloud Function версий 3.1.6, 3.2.2 и более старых неподдерживаемых версий при использовании функциональности маршрутизации пользователь может предоставить специально созданный SpEL в качестве выражения маршрутизации, что может привести к удаленному выполнению кода и доступу к локальным ресурсам.

Теги · CWE
KEVБез аутентификации
CWE-94
CAPEC-35
CAPEC-77
CAPEC-242
Затронутые продукты
Banking_branchBanking_cash_managementBanking_corporate_lending_process_managementBanking_credit_facilities_process_managementBanking_electronic_data_exchange_for_corporatesBanking_liquidity_managementBanking_originationBanking_supply_chain_financeBanking_trade_finance_process_managementBanking_virtual_account_managementCommunications_cloud_native_core_automated_test_suiteCommunications_cloud_native_core_consoleCommunications_cloud_native_core_network_exposure_functionCommunications_cloud_native_core_network_function_cloud_native_environmentCommunications_cloud_native_core_network_repository_functionCommunications_cloud_native_core_network_slice_selection_functionCommunications_cloud_native_core_policyCommunications_cloud_native_core_security_edge_protection_proxyCommunications_cloud_native_core_unified_data_repositoryCommunications_communications_policy_managementFinancial_services_analytical_applications_infrastructureFinancial_services_behavior_detection_platformFinancial_services_enterprise_case_managementMysql_enterprise_monitor ≤ 8.0.29Product_lifecycle_analyticsRetail_xstore_point_of_serviceSd-wan_edge
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Хронология
2022-01-01
Опубликована
2022-08-25
Добавлена в KEV
2022-08-25
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.945 · p99
Известна эксплуатация (KEV)
Да
MITRE ATT&CK
Выводимые через CAPEC
└ через CAPEC-35 · CWE-94
└ через CAPEC-35 · CWE-94
└ через CAPEC-35 · CWE-94
Проверки Сканер-ВС
CVE-2022-22963
cisa · https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Enterprise
51577
exploitdb · https://www.exploit-db.com/exploits/51577
Enterprise
Уязвимое ПО
ПродуктВендорСтатус
openshift-serverless-clientsЭксплуатируется
banking_branch*Эксплуатируется
banking_cash_management*Эксплуатируется
banking_corporate_lending_process_management*Эксплуатируется
banking_credit_facilities_process_management*Эксплуатируется
banking_electronic_data_exchange_for_corporates*Эксплуатируется
banking_liquidity_management*Эксплуатируется
banking_origination*Эксплуатируется
banking_supply_chain_finance*Эксплуатируется
banking_trade_finance_process_management*Эксплуатируется
banking_virtual_account_management*Эксплуатируется
communications_cloud_native_core_automated_test_suite*Эксплуатируется
communications_cloud_native_core_console*Эксплуатируется
communications_cloud_native_core_network_exposure_function*Эксплуатируется
communications_cloud_native_core_network_function_cloud_native_environment*Эксплуатируется
communications_cloud_native_core_network_repository_function*Эксплуатируется
communications_cloud_native_core_network_slice_selection_function*Эксплуатируется
communications_cloud_native_core_policy*Эксплуатируется
communications_cloud_native_core_security_edge_protection_proxy*Эксплуатируется
communications_cloud_native_core_unified_data_repository*Эксплуатируется
Источники данных
CVE
RED
Связанные уязвимости
BDU:2022-01628