漏洞标题
N/A
漏洞描述信息
Spring Framework 3.0.0 到 3.0.5,Spring Security 3.0.0 到 3.0.5 和 2.0.0 到 2.0.6 以及其他版本从不信任的来源解包对象,这允许远程攻击者绕过预期的安全限制并执行未信任代码,可以通过(1) serialize a java.lang.Proxy 实例并使用调用者处理程序,或(2) 访问内部 AOP 接口,如使用 DefaultListableBeanFactory 实例通过 java.lang.Runtime 类执行任意命令的例子。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Spring Framework 3.0.0 through 3.0.5, Spring Security 3.0.0 through 3.0.5 and 2.0.0 through 2.0.6, and possibly other versions deserialize objects from untrusted sources, which allows remote attackers to bypass intended security restrictions and execute untrusted code by (1) serializing a java.lang.Proxy instance and using InvocationHandler, or (2) accessing internal AOP interfaces, as demonstrated using deserialization of a DefaultListableBeanFactory instance to execute arbitrary commands via the java.lang.Runtime class.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Spring Framework ’deserialize‘ 对象权限许可和访问控制问题漏洞
漏洞描述信息
Pivotal Spring Framework是美国Pivotal Software公司的一套开源的Java、Java EE应用程序框架。该框架可帮助开发人员构建高质量的应用。 来自不信任源的Spring Framework 3.0.0至3.0.5版本,Spring Security 3.0.0至3.0.5版本和2.0.0至2.0.6版本及其他版本deserialize对象中存在漏洞。远程攻击者可通过(1) serializing a java.lang.Proxy例子并且使用InvocationHan
CVSS信息
N/A
漏洞类别
代码问题