Vmware Spring Authorization Server तक 1.0.5/1.1.5/1.2.2 PKCE कमजोर एन्क्रिप्शन

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
5.6$0-$5k0.00

सारांशजानकारी

एक कमजोरि जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Vmware Spring Authorization Server तक 1.0.5/1.1.5/1.2.2 में पाई गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक PKCE Handler का। यह संशोधन कमजोर एन्क्रिप्शन का कारण बन सकता है। यह कमजोरी CVE-2024-22258 के नाम से सूचीबद्ध है। हमला दूरस्थ रूप से शुरू किया जा सकता है। कोई एक्सप्लॉइट नहीं मिला है. प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।

विवरणजानकारी

एक कमजोरि जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Vmware Spring Authorization Server तक 1.0.5/1.1.5/1.2.2 में पाई गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक PKCE Handler का। यह संशोधन कमजोर एन्क्रिप्शन का कारण बन सकता है। CWE का उपयोग करके समस्या को घोषित करने से CWE-757 प्राप्त होता है। कमजोरी प्रकाशित की गई थी. सलाह spring.io पर डाउनलोड हेतु साझा की गई है।

यह कमजोरी CVE-2024-22258 के नाम से सूचीबद्ध है। 08/01/2024 को CVE असाइन किया गया था. हमला दूरस्थ रूप से शुरू किया जा सकता है। कोई टेक्निकल डिटेल्स उपलब्ध नहीं हैं. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। कोई एक्सप्लॉइट नहीं मिला है. इस समय एक एक्सप्लॉइट की मौजूदा कीमत might be approx. USD $0-$5k है। अगर T1562.010 मौजूद है, तो MITRE ATT&CK प्रोजेक्ट इस अटैक तकनीक को T1562.010 के रूप में घोषित करता है।

इसे परिभाषित नहीं के रूप में घोषित किया गया है।

इस समस्या का समाधान 1.0.6, 1.1.6 , 1.2.3 संस्करण में अपग्रेड करने से किया जा सकता है। प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।

उत्पादजानकारी

विक्रेता

नाम

संस्करण

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 5.7
VulDB मेटा अस्थायी स्कोर: 5.6

VulDB मूल स्कोर: 5.3
VulDB अस्थायी स्कोर: 5.1
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CNA मूल स्कोर: 6.1
CNA वेक्टर (VMware): 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

शोषणजानकारी

वर्ग: कमजोर एन्क्रिप्शन
CWE: CWE-757
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: परिभाषित नहीं

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

0-दिवसीय समय: 🔍

अपग्रेड: Spring Authorization Server 1.0.6/1.1.6/1.2.3

समयरेखाजानकारी

08/01/2024 🔍
20/03/2024 +72 दिन 🔍
20/03/2024 +0 दिन 🔍
06/12/2024 +260 दिन 🔍

स्रोतजानकारी

विक्रेता: vmware.com

सलाह: spring.io
स्थिति: पुष्टि की गई

CVE: CVE-2024-22258 (🔍)
GCVE (CVE): GCVE-0-2024-22258
GCVE (VulDB): GCVE-100-257407
scip Labs: https://www.scip.ch/en/?labs.20060413

प्रविष्टिजानकारी

बनाया गया: 20/03/2024 07:11 AM
अद्यतनित: 06/12/2024 12:47 AM
परिवर्तन: 20/03/2024 07:11 AM (63), 02/05/2024 03:08 PM (1), 06/12/2024 12:47 AM (2)
पूर्ण: 🔍
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

चर्चा

 Anonymous User
(+0)
2 साल पहले
Good morning,
I don't find the cpe into the Official NVD Nist dictionary. Could You kindly append the cpe "vmware:spring_security"?
We'd appreciate very much.
Best Regards,
TEAM CERT
 VulDB Community Team
2 साल पहले
Spring Security is a different product: https://spring.io/projects/spring-authorization-server - We expect NIST to update their dictionary.
 Anonymous User
(+0)
2 साल पहले
OK, Thanks.
 Anonymous User
(+0)
2 साल पहले
Do You think that the official cpe meaybe the follow: pivotal_software:spring_boot?
Best Regards,
TEAM CERT
 VulDB Community Team
2 साल पहले
pivotal_software:spring_boot: is deprecated since 2022-04-07. We expect an entirely new CPE string. But this might take months.

Want to know what is going to be exploited?

We predict KEV entries!