检测
分析

cve - 2016 - 1000027

至关重要的

描述

关键的Spring框架通过5.3.16患有潜在的远程代码执行(远端控制设备)问题如果用于Java反序列化不可信的数据。根据图书馆是如何实现在一个产品,不可能出现这个问题,可能需要进行身份验证。注意:供应商的位置是不可信的数据不是一个用例。产品的行为不会改变因为一些用户依靠反序列化的可信数据。

引用

https://security tracker.debian.org/tracker/cve - 2016 - 1000027

https://raw.githubusercontent.com/distributedweaknessfiling/cvelist/master/2016/1000xxx/cve - 2016 - 1000027. - json

//www.yyueer.com/security/research/tra - 2016 - 20

https://bugzilla.redhat.com/show_bug.cgi?id=cve - 2016 - 1000027

https://github.com/spring-projects/spring-framework/issues/24434 # issuecomment - 582313417

https://github.com/spring-projects/spring-framework/issues/24434 # issuecomment - 579669626

https://spring.io/blog/2022/05/11/spring-framework-5-3-20-and-5-2-22-available-now

https://github.com/spring-projects/spring-framework/issues/24434 # issuecomment - 744519525

https://security.netapp.com/advisory/ntap 0009/——20230420

细节

发表:2020-01-02

更新:2023-04-20

类型:cwe - 502

风险信息

CVSS v2

基础分数:7.5

向量:AV: N /交流:L /非盟:N / C: P / I: P / A: P

影响得分:6.4

可利用性得分:10

严重程度:

CVSS v3

基础分数:9.8

向量:CVSS: 3.1 / AV: N /交流:L /公关:UI: N / N / S: U / C: H /我:H: H

影响得分:5.9

可利用性得分:3.9

严重程度:至关重要的

Baidu
map