PT-2024-19288 · Google+1 · Guava+1
Michael Kimball
·
Publicado
2024-01-31
·
Atualizado
2024-02-09
·
CVE-2024-22236
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 3.1.x do Spring Cloud Contract anteriores à 3.1.10
Versões 4.0.x do Spring Cloud Contract anteriores à 4.0.5
Versões 4.1.x do Spring Cloud Contract anteriores à 4.1.1
Descrição
O problema diz respeito à divulgação de informações locais por meio de um diretório temporário criado com permissões inseguras através da dependência sombreada com.google.guava:guava na dependência org.springframework.cloud:spring-cloud-contract-shade. Isso afeta a execução de testes nas versões especificadas do Spring Cloud Contract.
Recomendações
Para versões 3.1.x anteriores à 3.1.10, atualize para a versão 3.1.10 ou posterior.
Para versões 4.0.x anteriores à 4.0.5, atualize para a versão 4.0.5 ou posterior.
Para versões 4.1.x anteriores à 4.1.1, atualize para a versão 4.1.1 ou posterior.
Correção
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Guava
Spring Cloud Contract