漏洞标题
N/A
漏洞描述信息
在VMware SpringSource Spring Framework 2.5.6.SEC03、2.5.7.SR023 和 3.x 之前,当一个容器支持表达式语言 (EL) 时,会重复地评估 EL 表达式在标签中的值,这允许远程攻击者通过 (1) Spring:hasBindErrors 标签中的名称属性;(2) Spring:bind 或 Spring:nestedpath 标签中的路径属性;(3) 参数、(4) 代码、(5) 文本、(6) var、(7) 范围或 (8) Spring:message 或 Spring:theme 标签中的消息属性;或 (9) var、(10) 范围或 (11) Spring:transform 标签中的值属性,也称为 "表达式语言注入"。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
VMware SpringSource Spring Framework before 2.5.6.SEC03, 2.5.7.SR023, and 3.x before 3.0.6, when a container supports Expression Language (EL), evaluates EL expressions in tags twice, which allows remote attackers to obtain sensitive information via a (1) name attribute in a (a) spring:hasBindErrors tag; (2) path attribute in a (b) spring:bind or (c) spring:nestedpath tag; (3) arguments, (4) code, (5) text, (6) var, (7) scope, or (8) message attribute in a (d) spring:message or (e) spring:theme tag; or (9) var, (10) scope, or (11) value attribute in a (f) spring:transform tag, aka "Expression Language Injection."
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Spring Framework表达式语言JSP属性处理信息泄露漏洞
漏洞描述信息
Pivotal Software Pivotal Spring Framework是美国Pivotal Software公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 VMware SpringSource Spring Framework 2.5.6.SEC03之前的版本、2.5.7.SR023、3.0.6之前的3.x版本中存在漏洞。该漏洞源于在容器支持表达式语言(EL)的情况下,程序会在标签中重复计算EL表达式。通过(a)spring:hasBindErro
CVSS信息
N/A
漏洞类别
配置错误