一、 漏洞 CVE-2024-38807 基础信息
漏洞标题
CVE-2024-38807: 春天启动加载器中的签名伪造漏洞
来源:AIGC 神龙大模型
漏洞描述信息
使用了spring-boot-loader或spring-boot-loader-classic,并包含了自定义代码对嵌套jar文件进行签名验证的应用程序可能会受到签名伪造的威胁。这种威胁意味着,看起来由某个签名者签名的内容实际上是由另一个签名者签名的。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
密码学签名的验证不恰当
来源:AIGC 神龙大模型
漏洞标题
CVE-2024-38807: Signature Forgery Vulnerability in Spring Boot's Loader
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Applications that use spring-boot-loader or spring-boot-loader-classic and contain custom code that performs signature verification of nested jar files may be vulnerable to signature forgery where content that appears to have been signed by one signer has, in fact, been signed by another.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
VMware Spring Boot 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
VMware Spring Boot是美国威睿(VMware)公司的一套开源框架。 VMware Spring Boot存在安全漏洞,该漏洞源于容易受到签名伪造的攻击。以下产品及版本受到影响: 2.7.0至2.7.21版本、3.0.0至3.0.16版本、3.1.0至3.1.12版本、3.2.0至3.2.8版本和3.3.0至3.3.2版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-38807 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-38807 的情报信息