Vulnerabilidad en Spring Framework (CVE-2024-22259)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-601
Redireccionamiento de URL a sitio no confiable (Open Redirect)
Fecha de publicación:
16/03/2024
Última modificación:
10/06/2025
Descripción
Las aplicaciones que utilizan UriComponentsBuilder en Spring Framework para analizar una URL proporcionada externamente (por ejemplo, a través de un parámetro de consulta) Y realizan comprobaciones de validación en el host de la URL analizada pueden ser vulnerables a una redirección abierta https://cwe.mitre.org/data/ definiciones/601.html o a un ataque SSRF si la URL se utiliza después de pasar las comprobaciones de validación. Esto es lo mismo que CVE-2024-22243 https://spring.io/security/cve-2024-22243, pero con entradas diferentes.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:vmware:spring_framework:*:*:*:*:*:*:*:* | 5.3.33 (excluyendo) | |
| cpe:2.3:a:vmware:spring_framework:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.0.18 (excluyendo) |
| cpe:2.3:a:vmware:spring_framework:*:*:*:*:*:*:*:* | 6.1.0 (incluyendo) | 6.1.5 (excluyendo) |
| cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:linux:*:* | ||
| cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vmware_vsphere:*:* | ||
| cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:windows:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página