Yoshinori Hayashi

Pesquisador deLINE Corporation
#12823de 53,639
20.9CVSS total
Vulnerabilidades · 3
Média
2
Crítica
1
PT-2022-3458
10
2022-05-19
Unknown · Spring Security · CVE-2022-22978
**Nome do software vulnerável e versões afetadas** Versões do Spring Security anteriores à 5.4.11 Versões do Spring Security anteriores à 5.5.7 Versões do Spring Security anteriores à 5.6.4 Versões antigas e sem suporte do Spring Security **Descrição** O problema está relacionado ao componente RegexRequestMatcher no Spring Security, que pode ser configurado incorretamente, permitindo a contornar a autorização em alguns contêineres de servlet. Aplicativos que utilizam o RegexRequestMatcher com `.` na expressão regular podem estar vulneráveis. A vulnerabilidade pode ser explorada por um invasor remoto para elevar seus privilégios. O problema pode ser acionado utilizando símbolos como %0d ou %0a. **Recomendações** Para versões do Spring Security anteriores à 5.4.11, atualize para a versão 5.4.11 ou posterior. Para versões do Spring Security anteriores à 5.5.7, atualize para a versão 5.5.7 ou posterior. Para versões do Spring Security anteriores à 5.6.4, atualize para a versão 5.6.4 ou posterior. Para versões mais antigas e sem suporte do Spring Security, considere atualizar para uma versão com suporte. Como solução alternativa temporária, considere evitar o uso de `.` na expressão regular para o RegexRequestMatcher até que um patch esteja disponível. Restrinja o acesso ao componente RegexRequestMatcher para minimizar o risco de exploração.
PT-2018-8990
4.8
2018-09-07
Growi · Growi · CVE-2018-0652
**Name of the Vulnerable Software and Affected Versions** GROWI versions 3.1.11 and earlier **Description** A cross-site scripting issue allows remote authenticated attackers to inject arbitrary web script or HTML via the UserGroup Management section of the admin page. **Recommendations** For GROWI versions 3.1.11 and earlier, at the moment, there is no information about a newer version that contains a fix for this vulnerability.
PT-2018-8991
6.1
2018-09-07
Growi · Growi · CVE-2018-0653
**Name of the Vulnerable Software and Affected Versions** GROWI versions 3.1.11 and earlier **Description** A cross-site scripting issue allows remote attackers to inject arbitrary web script or HTML via Wiki page view. **Recommendations** For GROWI versions 3.1.11 and earlier, at the moment, there is no information about a newer version that contains a fix for this vulnerability.