Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Pivotal Spring Security (CVE-2016-9879)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/01/2017
Última modificación:
20/04/2025

Descripción

Se descubrió un problema en Pivotal Spring Security en versiones anteriores a 3.2.10, 4.1.x en versiones anteriores a 4.1.4 y 4.2.x en versiones anteriores a 4.2.1. Spring Security no considera parámetros de ruta URL cuando procesa restricciones de seguridad. Añadiendo un parámetro de ruta URL con con un "/" codificado a una petición, un atacante podría ser capaz de eludir una restricción de seguridad. La causa principal de este problema es la falta de claridad en lo que se refiere al manejo de los parámetros de ruta en las Servlet Specification. Algunos contenedores Servlet incluyen parámetros de ruta en el valor devuelto para getPathInfo() y otros no. Spring Security utiliza el valor devuelto por getPathInfo() como parte del proceso de mapeo de peticiones a las restricciones de seguridad. La presencia inesperada de parámetros de ruta puede provocar que una restricción sea eludida. Los usuarios de Apache Tomcat (todas las versiones actuales) no están afectados por esta vulnerabilidad ya que Tomcat sigue la guía proporcionada previamente por el grupo Servlet Expert y elimina los parámetros de ruta del valor devuelto por getContextPath(), getServletPath() y getPathInfo(). Usuarios de otros contenedores Servlet basados en Apache Tomcat podrían o no estar afectados dependiendo en si el manejo de los parámetros ha sido modificado. Se sabe que los Usuarios de IBM WebSphere Application Server 8.5.x están afectados. Usuarios de otros contenedores que implementan la especificación Servlet podrían estar afectados.

Impacto

Vector 3.x
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Vector 2.0
AV:N/AC:L/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:vmware:spring_security:3.2.0:*:*:*:*:*:*:*
cpe:2.3:a:vmware:spring_security:3.2.1:*:*:*:*:*:*:*
cpe:2.3:a:vmware:spring_security:3.2.2:*:*:*:*:*:*:*
cpe:2.3:a:vmware:spring_security:3.2.3:*:*:*:*:*:*:*
cpe:2.3:a:vmware:spring_security:3.2.4:*:*:*:*:*:*:*
cpe:2.3:a:vmware:spring_security:3.2.5:*:*:*:*:*:*:*
cpe:2.3:a:vmware:spring_security:3.2.6:*:*:*:*:*:*:*
cpe:2.3:a:vmware:spring_security:3.2.7:*:*:*:*:*:*:*
cpe:2.3:a:vmware:spring_security:3.2.8:*:*:*:*:*:*:*
cpe:2.3:a:vmware:spring_security:3.2.9:*:*:*:*:*:*:*
cpe:2.3:a:vmware:spring_security:4.1.0:*:*:*:*:*:*:*
cpe:2.3:a:vmware:spring_security:4.1.1:*:*:*:*:*:*:*
cpe:2.3:a:vmware:spring_security:4.1.2:*:*:*:*:*:*:*
cpe:2.3:a:vmware:spring_security:4.1.3:*:*:*:*:*:*:*
cpe:2.3:a:vmware:spring_security:4.2.0:*:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información