Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-03500: Уязвимость модулей spring-webmvc, spring-webflux программной платформы Spring Framework, позволяющая нарушителю осуществить межсайтовую подделку запросов

Описание уязвимости	Уязвимость модулей spring-webmvc, spring-webflux программной платформы Spring Framework связана с отсутствием защиты от межсайтовой подмены запросов (CSRF). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить межсайтовую подделку запросов
Вендор	Oracle Corp., Pivotal Software Inc.
Наименование ПО	WebLogic Server, Oracle Retail Order Broker, Oracle Retail Predictive Application Server, Oracle Retail Assortment Planning, Oracle Communications Element Manager, Oracle Communications Session Report Manager, Oracle Communications Session Route Manager, Oracle Retail Financial Integration, Spring Framework, Communications BRM - Elastic Charging Engine, Oracle Healthcare Master Person Index, Insurance Policy Administration J2EE, Oracle Insurance Rules Palette, MySQL Enterprise Monitor, Oracle Retail Service Backbone, Rapid Planning
Версия ПО	12.2.1.3.0 (WebLogic Server) 15.0 (Oracle Retail Order Broker) 16.0 (Oracle Retail Order Broker) 12.2.1.4.0 (WebLogic Server) 15.0.3 (Oracle Retail Predictive Application Server) 16.0.3 (Oracle Retail Predictive Application Server) 15.0 (Oracle Retail Assortment Planning) 16.0 (Oracle Retail Assortment Planning) 8.1.1 (Oracle Communications Element Manager) 8.2.0 (Oracle Communications Element Manager) 8.1.1 (Oracle Communications Session Report Manager) 8.2.0 (Oracle Communications Session Report Manager) 8.1.1 (Oracle Communications Session Route Manager) 8.2.0 (Oracle Communications Session Route Manager) 15.0 (Oracle Retail Financial Integration) 16.0 (Oracle Retail Financial Integration) от 5.2.0 до 5.2.3 (Spring Framework) 11.3 (Communications BRM - Elastic Charging Engine) 12.0 (Communications BRM - Elastic Charging Engine) 8.2.1 (Oracle Communications Element Manager) 8.2.1 (Oracle Communications Session Report Manager) 8.2.1 (Oracle Communications Session Route Manager) 4.0.2 (Oracle Healthcare Master Person Index) 10.2.0 (Insurance Policy Administration J2EE) 10.2.4 (Insurance Policy Administration J2EE) 11.0.2 (Insurance Policy Administration J2EE) 11.1.0 (Insurance Policy Administration J2EE) 11.2.0 (Insurance Policy Administration J2EE) 10.2.0 (Oracle Insurance Rules Palette) 10.2.4 (Oracle Insurance Rules Palette) 11.0.2 (Oracle Insurance Rules Palette) 11.1.0 (Oracle Insurance Rules Palette) 11.2.0 (Oracle Insurance Rules Palette) до 4.0.12 включительно (MySQL Enterprise Monitor) до 8.0.20 включительно (MySQL Enterprise Monitor) 14.0.3 (Oracle Retail Predictive Application Server) 14.1.3 (Oracle Retail Predictive Application Server) 15.0 (Oracle Retail Service Backbone) 16.0 (Oracle Retail Service Backbone) 12.1 (Rapid Planning) 12.2 (Rapid Planning)
Тип ПО	Сетевое программное средство, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Межсайтовая фальсификация запросов
Идентификатор типа ошибки	CWE-352
Класс уязвимости	Уязвимость кода
Дата выявления	17.01.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:P/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Spring Framework: https://tanzu.vmware.com/security/cve-2020-5397 Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpuapr2020.html https://www.oracle.com/security-alerts/cpujul2020.html
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Подмена при взаимодействии
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://tanzu.vmware.com/security/cve-2020-5397 https://www.oracle.com/security-alerts/cpuapr2020.html https://www.oracle.com/security-alerts/cpujul2020.html
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-5397
Прочая информация	Данные уточняются

Последние изменения