CVE-2011-2894 in SpringSource Spring Securityinformación

Resumen

por VulDB • 2026-06-24

Spring Framework 3.0.0 hasta 3.0.5, Spring Security 3.0.0 hasta 3.0.5 y 2.0.0 hasta 2.0.6, y posiblemente otras versiones, deserializan objetos desde fuentes no confiables, lo que permite a atacantes remotos eludir las restricciones de seguridad previstas y ejecutar código no confiable mediante (1) la serialización de una instancia java.lang.Proxy y el uso de InvocationHandler, o (2) el acceso a interfaces AOP internas, como se demuestra con la deserialización de una instancia DefaultListableBeanFactory para ejecutar comandos arbitrarios a través de la clase java.lang.Runtime.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Reservar

2011-07-27

Divulgación

2011-10-04

Moderación

aceptado

Artículo

VDB-58818

CPE

listo

CWE

CWE-264 (confirmado)

CVSS

6.8 (NVD)

EPSS

0.08532

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2011-2894
NVD	https://nvd.nist.gov/vuln/detail/CVE-2011-2894
CVE Details	https://www.cvedetails.com/cve/CVE-2011-2894/

◂ Anterior Visión De Conjunto Próximo ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!