BDU:2020-03500: Уязвимость модулей spring-webmvc, spring-webflux программной платформы Spring Framework, позволяющая нарушителю осуществить межсайтовую подделку запросов

Описание уязвимости Уязвимость модулей spring-webmvc, spring-webflux программной платформы Spring Framework связана с отсутствием защиты от межсайтовой подмены запросов (CSRF). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить межсайтовую подделку запросов
Вендор Oracle Corp., Pivotal Software Inc.
Наименование ПО WebLogic Server, Oracle Retail Order Broker, Oracle Retail Predictive Application Server, Oracle Retail Assortment Planning, Oracle Communications Element Manager, Oracle Communications Session Report Manager, Oracle Communications Session Route Manager, Oracle Retail Financial Integration, Spring Framework, Communications BRM - Elastic Charging Engine, Oracle Healthcare Master Person Index, Insurance Policy Administration J2EE, Oracle Insurance Rules Palette, MySQL Enterprise Monitor, Oracle Retail Service Backbone, Rapid Planning
Версия ПО
  • 12.2.1.3.0 (WebLogic Server)
  • 15.0 (Oracle Retail Order Broker)
  • 16.0 (Oracle Retail Order Broker)
  • 12.2.1.4.0 (WebLogic Server)
  • 15.0.3 (Oracle Retail Predictive Application Server)
  • 16.0.3 (Oracle Retail Predictive Application Server)
  • 15.0 (Oracle Retail Assortment Planning)
  • 16.0 (Oracle Retail Assortment Planning)
  • 8.1.1 (Oracle Communications Element Manager)
  • 8.2.0 (Oracle Communications Element Manager)
  • 8.1.1 (Oracle Communications Session Report Manager)
  • 8.2.0 (Oracle Communications Session Report Manager)
  • 8.1.1 (Oracle Communications Session Route Manager)
  • 8.2.0 (Oracle Communications Session Route Manager)
  • 15.0 (Oracle Retail Financial Integration)
  • 16.0 (Oracle Retail Financial Integration)
  • от 5.2.0 до 5.2.3 (Spring Framework)
  • 11.3 (Communications BRM - Elastic Charging Engine)
  • 12.0 (Communications BRM - Elastic Charging Engine)
  • 8.2.1 (Oracle Communications Element Manager)
  • 8.2.1 (Oracle Communications Session Report Manager)
  • 8.2.1 (Oracle Communications Session Route Manager)
  • 4.0.2 (Oracle Healthcare Master Person Index)
  • 10.2.0 (Insurance Policy Administration J2EE)
  • 10.2.4 (Insurance Policy Administration J2EE)
  • 11.0.2 (Insurance Policy Administration J2EE)
  • 11.1.0 (Insurance Policy Administration J2EE)
  • 11.2.0 (Insurance Policy Administration J2EE)
  • 10.2.0 (Oracle Insurance Rules Palette)
  • 10.2.4 (Oracle Insurance Rules Palette)
  • 11.0.2 (Oracle Insurance Rules Palette)
  • 11.1.0 (Oracle Insurance Rules Palette)
  • 11.2.0 (Oracle Insurance Rules Palette)
  • до 4.0.12 включительно (MySQL Enterprise Monitor)
  • до 8.0.20 включительно (MySQL Enterprise Monitor)
  • 14.0.3 (Oracle Retail Predictive Application Server)
  • 14.1.3 (Oracle Retail Predictive Application Server)
  • 15.0 (Oracle Retail Service Backbone)
  • 16.0 (Oracle Retail Service Backbone)
  • 12.1 (Rapid Planning)
  • 12.2 (Rapid Planning)
Тип ПО Сетевое программное средство, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Данные уточняются
Тип ошибки Межсайтовая фальсификация запросов
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 17.01.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Spring Framework:
https://tanzu.vmware.com/security/cve-2020-5397

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Подмена при взаимодействии
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения