Vmware Spring Authorization Server حتى 1.0.5/1.1.5/1.2.2 PKCE تشفير ضعيف

CVSS الدرجة المؤقتة للميتاسعر الإكسبلويت الحالي (≈)درجة اهتمام CTI
5.6$0-$5k0.00

الملخصالمعلومات

تم اكتشاف ثغرة مصنفة كـ خطيرة في Vmware Spring Authorization Server حتى 1.0.5/1.1.5/1.2.2. تتعلق المشكلة بالوظيفة $software_function في المكون PKCE Handler. عند التلاعب ينتج تشفير ضعيف. تُعرف هذه الثغرة باسم CVE-2024-22258. يمكن شن الهجوم هذا عن بعد. الإكسبلويت غير متوفرة. يوصى بترقية العنصر المتأثر.

التفاصيلالمعلومات

تم اكتشاف ثغرة مصنفة كـ خطيرة في Vmware Spring Authorization Server حتى 1.0.5/1.1.5/1.2.2. تتعلق المشكلة بالوظيفة $software_function في المكون PKCE Handler. عند التلاعب ينتج تشفير ضعيف. أستخدام الـ سي دبليو أي للأعلان عن المشكلة يؤدي إلى CWE-757. المشكلة تم الإبلاغ عنها بتاريخ. تمت مشاركة التنبيه للتنزيل على spring.io.

تُعرف هذه الثغرة باسم CVE-2024-22258. تم إصدار CVE في 08/01/2024. يمكن شن الهجوم هذا عن بعد. التفاصيل التقنية غير متوفرة. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أقل من المتوسط. الإكسبلويت غير متوفرة. يصرح مشروع MITRE ATT&CK بأن تقنية الهجوم هي T1562.010.

إذا وُجد غير معرفة، فإنه يُصرح به كـ غير معرفة.

حل هذه المشكلة ممكن عبر الترقية إلى الإصدار 1.0.6, 1.1.6 , 1.2.3. يوصى بترقية العنصر المتأثر.

منتجالمعلومات

المجهز

الأسم

النسخة

الرخصة

موقع إلكتروني

CPE 2.3المعلومات

CPE 2.2المعلومات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 5.7
VulDB الدرجة المؤقتة للميتا: 5.6

VulDB الدرجة الأساسية: 5.3
VulDB الدرجة المؤقتة: 5.1
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CNA الدرجة الأساسية: 6.1
CNA متجه (VMware): 🔍

CVSSv2المعلومات

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
متجهالتعقيدتوثيقالسريةالأمانةالتوفر
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

استغلالالمعلومات

الفئة: تشفير ضعيف
CWE: CWE-757
CAPEC: 🔍
ATT&CK: 🔍

ملموس: لا
محلي: لا
عن بُعد: نعم

التوفر: 🔍
الحالة: غير معرفة

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Dayافتحافتحافتحافتح
اليومافتحافتحافتحافتح

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: ترقية
الحالة: 🔍

زمن الهجوم الفوري: 🔍

ترقية: Spring Authorization Server 1.0.6/1.1.6/1.2.3

الجدول الزمنيالمعلومات

08/01/2024 🔍
20/03/2024 +72 أيام 🔍
20/03/2024 +0 أيام 🔍
06/12/2024 +260 أيام 🔍

المصادرالمعلومات

المجهز: vmware.com

استشارة: spring.io
الحالة: مؤكد

CVE: CVE-2024-22258 (🔍)
GCVE (CVE): GCVE-0-2024-22258
GCVE (VulDB): GCVE-100-257407
scip Labs: https://www.scip.ch/en/?labs.20060413

إدخالالمعلومات

تم الإنشاء: 20/03/2024 07:11 AM
تم التحديث: 06/12/2024 12:47 AM
التغييرات: 20/03/2024 07:11 AM (63), 02/05/2024 03:08 PM (1), 06/12/2024 12:47 AM (2)
كامل: 🔍
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

مناقشة

 Anonymous User
(+0)
2 سنوات منذ
Good morning,
I don't find the cpe into the Official NVD Nist dictionary. Could You kindly append the cpe "vmware:spring_security"?
We'd appreciate very much.
Best Regards,
TEAM CERT
 VulDB Community Team
2 سنوات منذ
Spring Security is a different product: https://spring.io/projects/spring-authorization-server - We expect NIST to update their dictionary.
 Anonymous User
(+0)
2 سنوات منذ
OK, Thanks.
 Anonymous User
(+0)
2 سنوات منذ
Do You think that the official cpe meaybe the follow: pivotal_software:spring_boot?
Best Regards,
TEAM CERT
 VulDB Community Team
2 سنوات منذ
pivotal_software:spring_boot: is deprecated since 2022-04-07. We expect an entirely new CPE string. But this might take months.

Do you know our Splunk app?

Download it now for free!