漏洞信息
# CVE-2024-38807: Spring Boot 加载器中的签名伪造漏洞
## 概述
使用 `spring-boot-loader` 或 `spring-boot-loader-classic` 并包含自定义代码以验证嵌套 JAR 文件签名的应用程序可能容易受到签名伪造攻击。攻击者可以通过这种方式使看似由一个签名者签名的内容实际由另一个签名者签名。
## 影响版本
未提供具体版本信息
## 细节
应用程序中存在自定义代码用于验证嵌套 JAR 文件的签名。如果签名验证逻辑中存在漏洞,攻击者可以伪造签名,使得内容看似由一个合法签名者签名,但实际上是由另一个不相关的签名者签名。
## 影响
应用程序可能无法正确识别嵌套 JAR 文件的签名者,从而可能导致安全风险,如未经授权的代码执行。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
CVE-2024-38807: Signature Forgery Vulnerability in Spring Boot's Loader
漏洞描述信息
Applications that use spring-boot-loader or spring-boot-loader-classic and contain custom code that performs signature verification of nested jar files may be vulnerable to signature forgery where content that appears to have been signed by one signer has, in fact, been signed by another.
CVSS信息
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
VMware Spring Boot 安全漏洞
漏洞描述信息
VMware Spring Boot是美国威睿(VMware)公司的一套开源框架。 VMware Spring Boot存在安全漏洞,该漏洞源于容易受到签名伪造的攻击。以下产品及版本受到影响: 2.7.0至2.7.21版本、3.0.0至3.0.16版本、3.1.0至3.1.12版本、3.2.0至3.2.8版本和3.3.0至3.3.2版本。
CVSS信息
N/A
漏洞类别
其他