Vulnerabilidad en Spring Security y Spring Framework (CVE-2016-5007)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-264 Permisos, privilegios y/o control de acceso

Fecha de publicación:

25/05/2017

Última modificación:

20/04/2025

Descripción

Tanto en Spring Security versiones 3.2.x, 4.0.x, 4.1.0 como el Framework Spring versiones 3.2.x, 4.0.x, 4.1.x, 4.2.x, se basan en el mapeo de patrones de URL para la autorización y para mapear las peticiones hacia los controladores, respectivamente. Las diferencias en el rigor de los mecanismos de coincidencia de patrones, por ejemplo con respecto al recorte de espacio en los segmentos de ruta (path), pueden hacer que Spring Security no reconozca ciertas rutas (paths) como no protegidas que de hecho se asignan a los controladores MVC de Spring que deben protegerse. El problema se agrava por el hecho de que el Framework Spring proporciona funcionalidades más completas con respecto a la coincidencia de patrones, así como por el hecho de que la coincidencia de patrones en cada Spring Security y Framework Spring se puede personalizar fácilmente diseñando diferencias adicionales.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0

5.00

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:pivotal_software:spring_framework:3.2.0:::::::*
cpe:2.3:a:pivotal_software:spring_framework:4.0.0:::::::*
cpe:2.3:a:pivotal_software:spring_framework:4.1.0:::::::*
cpe:2.3:a:pivotal_software:spring_framework:4.2.0:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.1:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.2:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.3:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.4:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.5:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.6:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.7:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.8:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.9:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.10:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.11:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:pivotal_software:spring_framework:3.2.0:::::::*
cpe:2.3:a:pivotal_software:spring_framework:4.0.0:::::::*
cpe:2.3:a:pivotal_software:spring_framework:4.1.0:::::::*
cpe:2.3:a:pivotal_software:spring_framework:4.2.0:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.1:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.2:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.3:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.4:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.5:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.6:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.7:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.8:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.9:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.10:::::::*
cpe:2.3:a:vmware:spring_framework:3.2.11:::::::*

Vulnerabilidad en Spring Security y Spring Framework (CVE-2016-5007)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información