PT-2024-2177 · Unknown+2 · Spring Framework+4
Threedr3Am
·
Publicado
2024-03-14
·
Atualizado
2026-04-24
·
CVE-2024-22259
CVSS v2.0
9.4
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas
Versões do Spring Framework anteriores à 6.1.5
Versões do Spring Framework anteriores à 6.0.18
Versões do Spring Framework anteriores à 5.3.33
Descrição
A vulnerabilidade existe devido à validação insuficiente dos dados inseridos pelo usuário no componente UriComponentsBuilder do Spring Framework. Isso pode permitir que um invasor remoto execute um ataque de falsificação de solicitação do lado do servidor (SSRF). A vulnerabilidade representa riscos para os sistemas, expondo-os potencialmente a ataques de redirecionamento aberto e SSRF. Aproximadamente 1.139.824 resultados estão distribuídos principalmente na China, nos Estados Unidos e em outros países.
Recomendações
Para versões do Spring Framework anteriores à 6.1.5, atualize para a versão 6.1.5 ou posterior.
Para versões do Spring Framework anteriores à 6.0.18, atualize para a versão 6.0.18 ou posterior.
Para versões do Spring Framework anteriores à 5.3.33, atualize para a versão 5.3.33 ou posterior.
Como solução temporária, considere restringir o uso do componente UriComponentsBuilder até que um patch seja aplicado. Evite usar a variável
host no endpoint da API afetado até que o problema seja resolvido.Correção
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bamboo
Bitbucket
Confluence
Debian
Spring Framework