PT-2024-28229 · Spring+1 · Spring Boot+1
Yufan You
·
Publicado
2024-08-23
·
Atualizado
2026-05-24
·
CVE-2024-38807
CVSS v4.0
7.2
Alta
| Vetor | AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Spring Boot 2.7.0 a 2.7.21
Versões do Spring Boot 3.0.0 a 3.0.16
Versões do Spring Boot 3.1.0 a 3.1.12
Versões do Spring Boot 3.2.0 a 3.2.8
Versões do Spring Boot 3.3.0 a 3.3.2
Descrição
Aplicativos que utilizam o spring-boot-loader ou o spring-boot-loader-classic e contêm código personalizado que realiza a verificação de assinatura de arquivos JAR aninhados podem estar vulneráveis à falsificação de assinatura, em que o conteúdo que parece ter sido assinado por um signatário foi, na verdade, assinado por outro.
Recomendações
Para as versões 2.7.0 a 2.7.21 do Spring Boot, atualize para a versão 2.7.22 para resolver o problema.
Para as versões 3.0.0 a 3.0.16 do Spring Boot, atualize para a versão 3.0.17 para resolver o problema.
Para as versões 3.1.0 a 3.1.12 do Spring Boot, atualize para a versão 3.1.13 para resolver o problema.
Para as versões 3.2.0 a 3.2.8 do Spring Boot, atualize para a versão 3.2.9 para resolver o problema.
Para as versões 3.3.0 a 3.3.2 do Spring Boot, atualize para a versão 3.3.3 para resolver o problema.
Correção
Improper Verification of Cryptographic Signature
Authentication Bypass by Spoofing
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Spring Boot