📚 Pivotal Spring Framework bis 3.2.17/4.2.8/4.3.4 ResourceServlet Directory Traversal

🕛 Zeit seit Veröffentlichung: 2690 Tage, 17 Stunden 5 Minuten
📆 Veröffentlicht am: 29.12.2016 um 01:00 Uhr
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com

Eine Schwachstelle wurde in Pivotal Spring Framework bis 3.2.17/4.2.8/4.3.4 entdeckt. Sie wurde als kritisch eingestuft. Hierbei geht es um eine unbekannte Funktion der Komponente ResourceServlet. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit und Integrität.

Die Schwachstelle wurde am 29.12.2016 herausgegeben. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-9878 gehandelt. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.

Ein Aktualisieren auf die Version 3.2.18, 4.2.9 oder 4.3.5 vermag dieses Problem zu lösen.

CVSSv3

Base Score: ≈4.6 [?]
Temp Score: ≈4.4 [?]
Vector: CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Low

CVSSv2

Base Score: ≈3.0 (CVSS2#AV:A/AC:M/Au:S/C:P/I:P/A:N) [?]
Temp Score: ≈2.6 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Low

CPE

• cpe:/a:pivotal:spring_framework:3.2.17
• cpe:/a:pivotal:spring_framework:4.2.8
• cpe:/a:pivotal:spring_framework:4.3.4

Exploiting

Klasse: Directory Traversal
Lokal: Ja
Remote: Nein

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Upgrade: Spring Framework 3.2.18/4.2.9/4.3.5

Timeline

29.12.2016 Advisory veröffentlicht
29.12.2016 VulDB Eintrag erstellt
29.12.2016 VulDB letzte Aktualisierung

Quellen

CVE: CVE-2016-9878 (mitre.org) (nvd.nist.org) (cvedetails.com)

Eintrag

Erstellt: 29.12.2016
Eintrag: 67.2% komplett
...