Vulnerabilidad en Spring Tools 4 para Eclipse (CVE-2022-31691)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

04/11/2022

Última modificación:

02/05/2025

Descripción

Spring Tools 4 para Eclipse versión 4.16.0 y siguientes, así como extensiones VSCode como Spring Boot Tools, Concourse CI Pipeline Editor, Bosh Editor y Cloudfoundry Manifest YML Support versión 1.39.0 y siguientes utilizan la librería Snakeyaml para admitir la edición YAML. Esta librería permite una sintaxis especial en YAML que, en determinadas circunstancias, permite que el atacante ejecute código remoto potencialmente dañino.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:vmware:bosh_editor::::::::	1.0.0 (incluyendo)	1.40.0 (excluyendo)
cpe:2.3:a:vmware:cloudfoundry_manifest_yml_support::::::::	1.0.0 (incluyendo)	1.40.0 (excluyendo)
cpe:2.3:a:vmware:concourse_ci_pipeline_editor::::::::	1.0.0 (incluyendo)	1.40.0 (excluyendo)
cpe:2.3:a:vmware:spring_boot_tools::::::::	1.0.0 (incluyendo)	1.40.0 (excluyendo)
cpe:2.3:a:vmware:spring_tools::::::eclipse::*	4.0.0 (incluyendo)	4.16.1 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en Spring Tools 4 para Eclipse (CVE-2022-31691)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información