Vulnerabilidad en Nepxion Discovery (CVE-2022-23463)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/09/2022
Última modificación:
28/09/2022
Descripción
Nepxion Discovery es una solución para Spring Cloud. Discover es vulnerable a una inyección de SpEL en discovery-commons. El método eval de DiscoveryExpressionResolver evalúa la expresión con un StandardEvaluationContext, permitiendo a la expresión alcanzar e interactuar con clases Java como java.lang.Runtime, conllevando a una ejecución de código remota. No se presenta ningún parche disponible para este problema en el momento de la publicación. No se presentan mitigaciones conocidas.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:nepxion:discovery:*:*:*:*:*:spring_cloud:*:* | 6.16.2 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página