CVE-2011-2894 in SpringSource Spring Securityinformazioni

Riassunto

di VulDB • 24/06/2026

Spring Framework 3.0.0 attraverso 3.0.5, Spring Security 3.0.0 attraverso 3.0.5 e 2.0.0 attraverso 2.0.6, nonché possibili altre versioni, deserializzano oggetti da fonti non attendibili, consentendo ad attaccanti remoti di eludere le restrizioni di sicurezza previste ed eseguire codice non attendibile mediante (1) la serializzazione di un'istanza java.lang.Proxy e l'utilizzo di InvocationHandler, oppure (2) l'accesso alle interfacce AOP interne, come dimostrato dalla deserializzazione di un'istanza DefaultListableBeanFactory per eseguire comandi arbitrari tramite la classe java.lang.Runtime.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Prenotare

27/07/2011

Divulgazione

04/10/2011

Moderazione

accettato

Voce

VDB-58818

CPE

pronto

CWE

CWE-264 (confermato)

CVSS

6.8 (NVD)

EPSS

0.08532

KEV

Attività

molto basso

Fonti

MITRE	https://www.cve.org/CVERecord?id=CVE-2011-2894
NVD	https://nvd.nist.gov/vuln/detail/CVE-2011-2894
CVE Details	https://www.cvedetails.com/cve/CVE-2011-2894/

◂ Precedente Visione D'ensemble Il prossimo ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!