PT-2024-2941 · Unknown+2 · Spring Framework+4
L0Ne1Y
·
Publicado
2024-04-11
·
Atualizado
2026-04-24
·
CVE-2024-22262
CVSS v2.0
9.4
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas
Versões do Spring Framework anteriores à 5.3.34
Versões do Spring Framework anteriores à 6.0.19
Versões do Spring Framework anteriores à 6.1.6
Descrição
A vulnerabilidade existe devido à validação insuficiente dos dados inseridos pelo usuário no componente UriComponentsBuilder do Spring Framework. Isso pode permitir que um invasor remoto execute um ataque de falsificação de solicitação do lado do servidor (SSRF). Aplicativos que utilizam o UriComponentsBuilder para analisar URLs fornecidas externamente e realizar verificações de validação no host são afetados.
Recomendações
Para versões do Spring Framework anteriores à 5.3.34, atualize para a versão 5.3.34 ou posterior.
Para versões do Spring Framework anteriores à 6.0.19, atualize para a versão 6.0.19 ou posterior.
Para versões do Spring Framework anteriores à 6.1.6, atualize para a versão 6.1.6 ou posterior.
Correção
Open Redirect
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Bamboo
Bitbucket
Confluence
Debian
Spring Framework