漏洞信息
# N/A
## 漏洞概述
Spring Framework中的spring-messaging模块允许应用程序通过简单的、基于内存的STOMP代理暴露STOMP over WebSocket端点。恶意用户或攻击者可以构造一个消息导致远程代码执行攻击。
## 影响版本
- Spring Framework 5.0.x 版本,低于5.0.5
- Spring Framework 4.3.x 版本,低于4.3.15
- 更旧的不再受支持的版本
## 漏洞细节
通过spring-messaging模块暴露的简单内存在STOMP代理上,攻击者可以构造特定的消息,这些消息能够执行远程代码。
## 漏洞影响
该漏洞允许攻击者通过构造特定的消息对应用程序执行远程代码攻击。这可能导致严重的安全问题,包括但不限于数据泄露、系统被控制等。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
漏洞描述信息
Spring Framework, versions 5.0 prior to 5.0.5 and versions 4.3 prior to 4.3.15 and older unsupported versions, allow applications to expose STOMP over WebSocket endpoints with a simple, in-memory STOMP broker through the spring-messaging module. A malicious user (or attacker) can craft a message to the broker that can lead to a remote code execution attack.
CVSS信息
N/A
漏洞类别
对生成代码的控制不恰当(代码注入)
漏洞标题
Pivotal Software Spring Framework 代码注入漏洞
漏洞描述信息
Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Framework 5.0.5之前的5.0版本、4.3.15之前的4.3版本和不再支持的老版本中存在代码注入漏洞。该漏洞是源于网络系统或产品中缺少身份验证、访问控制、权限管理等安全措施。
CVSS信息
N/A
漏洞类别
代码注入