Vulnerabilidad en Spring Framework (CVE-2023-34053)
Severidad:
ALTA
Type:
No Disponible / Otro tipo
Fecha de publicación:
28/11/2023
Última modificación:
14/12/2023
Descripción
En las versiones 6.0.0 - 6.0.13 de Spring Framework, es posible que un usuario proporcione solicitudes HTTP especialmente manipuladas que pueden causar una condición de denegación de servicio (DoS). Específicamente, una aplicación es vulnerable cuando se cumple todo lo siguiente: * la aplicación usa Spring MVC o Spring WebFlux * io.micrometer:micrometer-core está en el classpath * un ObservationRegistry está configurado en la aplicación para registrar observaciones Typically, Spring Boot las aplicaciones necesitan la dependencia org.springframework.boot:spring-boot-actuator para cumplir con todas las condiciones.
Impacto
Puntuación base 3.x
7.50
Severidad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:vmware:spring_framework:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.0.14 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página