Search criteria
28 vulnerabilities found for N/A by Spring
CERTFR-2025-AVI-0228
Vulnerability from certfr_avis - Published: - Updated:
De multiples vulnérabilités ont été découvertes dans Spring Security. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | N/A | Security versions 6.1.x antérieures à 6.1.14 | ||
| Spring | N/A | Security versions 5.8.x antérieures à 5.8.18 | ||
| Spring | N/A | Security versions 5.7.x antérieures à 5.7.16 | ||
| Spring | N/A | Security versions 6.3.x antérieures à 6.3.8 | ||
| Spring | N/A | Security versions 6.0.x antérieures à 6.0.16 | ||
| Spring | N/A | Security versions 6.2.x antérieures à 6.2.10 | ||
| Spring | N/A | Security versions 6.4.x antérieures à 6.4.4 |
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Security versions 6.1.x ant\u00e9rieures \u00e0 6.1.14",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Security versions 5.8.x ant\u00e9rieures \u00e0 5.8.18",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Security versions 5.7.x ant\u00e9rieures \u00e0 5.7.16",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Security versions 6.3.x ant\u00e9rieures \u00e0 6.3.8",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Security versions 6.0.x ant\u00e9rieures \u00e0 6.0.16",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Security versions 6.2.x ant\u00e9rieures \u00e0 6.2.10",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Security versions 6.4.x ant\u00e9rieures \u00e0 6.4.4",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2025-22228",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-22228"
},
{
"name": "CVE-2025-22223",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-22223"
}
],
"links": [],
"reference": "CERTFR-2025-AVI-0228",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2025-03-20T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Spring Security. Elles permettent \u00e0 un attaquant de provoquer un contournement de la politique de s\u00e9curit\u00e9.",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans Spring Security",
"vendor_advisories": [
{
"published_at": "2025-03-19",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2025-22228",
"url": "https://spring.io/security/cve-2025-22228"
},
{
"published_at": "2025-03-19",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2025-22223",
"url": "https://spring.io/security/cve-2025-22223"
}
]
}
CERTFR-2024-AVI-1005
Vulnerability from certfr_avis - Published: - Updated:
De multiples vulnérabilités ont été découvertes dans les produits Spring. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données et un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | N/A | Security versions 6.3.x antérieures à 6.3.5 | ||
| Spring | N/A | LDAP versions 3.2.x antérieures à 3.2.8 | ||
| Spring | N/A | Security versions 5.8.x antérieures à 5.8.16 | ||
| Spring | N/A | LDAP versions 3.1.x antérieures à 3.1.8 | ||
| Spring | N/A | Security versions 6.1.x antérieures à 6.1.12 | ||
| Spring | N/A | LDAP versions 2.4.x antérieures à 2.4.4 | ||
| Spring | N/A | Security versions 6.2.x antérieures à 6.2.8 | ||
| Spring | N/A | LDAP versions 3.0.x antérieures à 3.0.10 | ||
| Spring | N/A | Security versions 5.7.x antérieures à 5.7.14 | ||
| Spring | N/A | Security versions 6.0.x antérieures à 6.0.14 |
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Security versions 6.3.x ant\u00e9rieures \u00e0 6.3.5",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "LDAP versions 3.2.x ant\u00e9rieures \u00e0 3.2.8",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Security versions 5.8.x ant\u00e9rieures \u00e0 5.8.16",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "LDAP versions 3.1.x ant\u00e9rieures \u00e0 3.1.8",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Security versions 6.1.x ant\u00e9rieures \u00e0 6.1.12",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "LDAP versions 2.4.x ant\u00e9rieures \u00e0 2.4.4",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Security versions 6.2.x ant\u00e9rieures \u00e0 6.2.8",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "LDAP versions 3.0.x ant\u00e9rieures \u00e0 3.0.10",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Security versions 5.7.x ant\u00e9rieures \u00e0 5.7.14",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Security versions 6.0.x ant\u00e9rieures \u00e0 6.0.14",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2024-38829",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-38829"
},
{
"name": "CVE-2024-38827",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-38827"
}
],
"links": [],
"reference": "CERTFR-2024-AVI-1005",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-11-20T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans les produits Spring. Elles permettent \u00e0 un attaquant de provoquer une atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es et un contournement de la politique de s\u00e9curit\u00e9.",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits Spring",
"vendor_advisories": [
{
"published_at": "2024-11-19",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2024-38829",
"url": "https://spring.io/security/cve-2024-38829"
},
{
"published_at": "2024-11-19",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2024-38827",
"url": "https://spring.io/security/cve-2024-38827"
}
]
}
CERTFR-2024-AVI-0715
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans Spring Boot. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | N/A | Spring Boot versions 3.1.x antérieures à 3.1.13 | ||
| Spring | N/A | Spring Boot versions 3.3.x antérieures à 3.3.3 | ||
| Spring | N/A | Spring Boot versions 3.0.x antérieures à 3.0.17 | ||
| Spring | N/A | Spring Boot versions 2.7.x antérieures à 2.7.22 | ||
| Spring | N/A | Spring Boot versions 3.2.x antérieures à 3.2.9 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Boot versions 3.1.x ant\u00e9rieures \u00e0 3.1.13",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Boot versions 3.3.x ant\u00e9rieures \u00e0 3.3.3",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Boot versions 3.0.x ant\u00e9rieures \u00e0 3.0.17",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Boot versions 2.7.x ant\u00e9rieures \u00e0 2.7.22",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Boot versions 3.2.x ant\u00e9rieures \u00e0 3.2.9",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2024-38807",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-38807"
}
],
"links": [],
"reference": "CERTFR-2024-AVI-0715",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-08-23T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Spring Boot. Elle permet \u00e0 un attaquant de provoquer un contournement de la politique de s\u00e9curit\u00e9.",
"title": "Vuln\u00e9rabilit\u00e9 dans Spring Boot",
"vendor_advisories": [
{
"published_at": "2024-08-23",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2024-38807",
"url": "https://spring.io/security/cve-2024-38807"
}
]
}
CERTFR-2024-AVI-0700
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans SpringSecurity. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Security versions 6.3.x ant\u00e9rieures \u00e0 6.3.2",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2024-38810",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-38810"
}
],
"links": [],
"reference": "CERTFR-2024-AVI-0700",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-08-20T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans SpringSecurity. Elle permet \u00e0 un attaquant de provoquer un contournement de la politique de s\u00e9curit\u00e9.",
"title": "Vuln\u00e9rabilit\u00e9 dans Spring Security",
"vendor_advisories": [
{
"published_at": "2024-08-19",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2024-38810",
"url": "https://spring.io/security/cve-2024-38810"
}
]
}
CERTFR-2024-AVI-0236
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans les produits Spring Authorization Server. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Authorization Server versions 1.0.x ant\u00e9rieures \u00e0 1.0.6",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Authorization Server versions 1.1.x ant\u00e9rieures \u00e0 1.1.6",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Authorization Server versions 1.2.x ant\u00e9rieures \u00e0 1.2.3",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2024-22258",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-22258"
}
],
"links": [],
"reference": "CERTFR-2024-AVI-0236",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-03-20T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans \u003cspan class=\"textit\"\u003eles\nproduits Spring Authorization Server\u003c/span\u003e. Elle permet \u00e0 un attaquant\nde provoquer un contournement de la politique de s\u00e9curit\u00e9.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Spring Authorization Server",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2024-22258 du 19 mars 2024",
"url": "https://spring.io/security/cve-2024-22258/"
}
]
}
CERTFR-2024-AVI-0232
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans les produits Spring Security. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | N/A | Spring Security versions 6.2.x antérieures à 6.2.3 | ||
| Spring | N/A | Spring Security versions 5.7.x antérieures à 5.7.12 | ||
| Spring | N/A | Spring Security versions 6.0.x antérieures à 6.0.10 | ||
| Spring | N/A | Spring Security versions 5.8.x antérieures à 5.8.11 | ||
| Spring | N/A | Spring Security versions 6.1.x antérieures à 6.1.8 |
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Security versions 6.2.x ant\u00e9rieures \u00e0 6.2.3",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Security versions 5.7.x ant\u00e9rieures \u00e0 5.7.12",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Security versions 6.0.x ant\u00e9rieures \u00e0 6.0.10",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Security versions 5.8.x ant\u00e9rieures \u00e0 5.8.11",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Security versions 6.1.x ant\u00e9rieures \u00e0 6.1.8",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2024-22257",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-22257"
}
],
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Spring\u00a0CVE-2024-22257 du 18 mars 2024",
"url": "https://spring.io/security/cve-2024-22257/"
}
],
"reference": "CERTFR-2024-AVI-0232",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-03-19T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans \u003cspan class=\"textit\"\u003eles\nproduits Spring Security\u003c/span\u003e. Elle permet \u00e0 un attaquant de provoquer\nun contournement de la politique de s\u00e9curit\u00e9.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans les produits Spring Security",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring CVE-2024-22257 du 18 mars 2024",
"url": null
}
]
}
CERTFR-2024-AVI-0147
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans Spring Security. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Security versions 6.1.x ant\u00e9rieures \u00e0 6.1.7",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Security versions 6.2.x ant\u00e9rieures \u00e0 6.2.2",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2024-22234",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-22234"
}
],
"links": [],
"reference": "CERTFR-2024-AVI-0147",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-02-19T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans \u003cspan class=\"textit\"\u003eSpring\nSecurity\u003c/span\u003e. Elle permet \u00e0 un attaquant de provoquer un\ncontournement de la politique de s\u00e9curit\u00e9.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Spring Security",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring CVE-2024-22234 du 19 f\u00e9vrier 2024",
"url": "https://spring.io/security/cve-2024-22234/"
}
]
}
CERTFR-2024-AVI-0081
Vulnerability from certfr_avis - Published: - Updated:
De multiples vulnérabilités ont été découvertes dans les produits Spring. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Cloud Contract 4.0.x versions ant\u00e9rieures \u00e0 4.0.5",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Cloud Contract 3.1.x versions ant\u00e9rieures \u00e0 3.1.10",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Cloud Contract 4.1.x versions ant\u00e9rieures \u00e0 4.1.1",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2020-8908",
"url": "https://www.cve.org/CVERecord?id=CVE-2020-8908"
},
{
"name": "CVE-2024-22236",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-22236"
}
],
"links": [],
"reference": "CERTFR-2024-AVI-0081",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-01-31T00:00:00.000000"
}
],
"risks": [
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans \u003cspan\nclass=\"textit\"\u003eles produits Spring\u003c/span\u003e. Elles permettent \u00e0 un\nattaquant de provoquer une atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits Spring",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring du 30 janvier 2024",
"url": "https://spring.io/security/cve-2024-22236"
}
]
}
CERTFR-2023-AVI-0980
Vulnerability from certfr_avis - Published: - Updated:
De multiples vulnérabilités ont été découvertes dans les produits Spring. Elles permettent à un attaquant de provoquer un déni de service.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | N/A | Reactor Netty versions antérieures à 1.0.39 | ||
| Spring | N/A | Spring Boot versions antérieures à 2.7.18 | ||
| Spring | Spring Framework | Spring Framework versions 6.0.x antérieures à 6.0.14 | ||
| Spring | N/A | Spring Boot versions 3.1.x antérieures à 3.1.6 | ||
| Spring | N/A | Spring Boot versions 3.0.x antérieures à 3.0.13 | ||
| Spring | N/A | Reactor Netty versions 1.1.x antérieures à 1.1.13 |
References
| Title | Publication Time | Tags | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Reactor Netty versions ant\u00e9rieures \u00e0 1.0.39",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Boot versions ant\u00e9rieures \u00e0 2.7.18",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Framework versions 6.0.x ant\u00e9rieures \u00e0 6.0.14",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Boot versions 3.1.x ant\u00e9rieures \u00e0 3.1.6",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Boot versions 3.0.x ant\u00e9rieures \u00e0 3.0.13",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Reactor Netty versions 1.1.x ant\u00e9rieures \u00e0 1.1.13",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2023-34053",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-34053"
},
{
"name": "CVE-2023-34054",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-34054"
},
{
"name": "CVE-2023-34055",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-34055"
}
],
"links": [],
"reference": "CERTFR-2023-AVI-0980",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2023-11-27T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans \u003cspan\nclass=\"textit\"\u003eles produits Spring\u003c/span\u003e. Elles permettent \u00e0 un\nattaquant de provoquer un d\u00e9ni de service.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits Spring",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2023-34053 du 27 novembre 2023",
"url": "https://spring.io/security/cve-2023-34053/"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2023-34055 du 27 novembre 2023",
"url": "https://spring.io/security/cve-2023-34055/"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2023-34054 du 27 novembre 2023",
"url": "https://spring.io/security/cve-2023-34054/"
}
]
}
CERTFR-2023-AVI-0867
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans Spring AMQP. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring AMQP versions 3.0.x ant\u00e9rieures \u00e0 3.0.10",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring AMQP versions ant\u00e9rieures \u00e0 2.4.17",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2023-34050",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-34050"
}
],
"links": [],
"reference": "CERTFR-2023-AVI-0867",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2023-10-19T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Spring AMQP. Elle permet \u00e0 un\nattaquant de provoquer une ex\u00e9cution de code arbitraire \u00e0 distance.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Spring AMQP",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring CVE-2023-34050 du 18 octobre 2023",
"url": "https://spring.io/security/cve-2023-34050/"
}
]
}
CERTFR-2023-AVI-0763
Vulnerability from certfr_avis - Published: - Updated:
De multiples vulnérabilités ont été découvertes dans les produits Spring. Elles permettent à un attaquant de provoquer une atteinte à l'intégrité des données et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | N/A | Spring Security versions 5.8.4 à 5.8.6 antérieures à 5.8.7 | ||
| Spring | N/A | Spring Security versions 5.7.9 à 5.7.10 antérieures à 5.7.11 | ||
| Spring | N/A | Spring pour GraphQL versions 1.1.x antérieures à 1.1.6 | ||
| Spring | N/A | Spring pour GraphQL versions 1.2.x antérieures à 1.2.3 | ||
| Spring | N/A | Spring Security versions 6.0.4 à 6.0.6 antérieures à 6.0.7 | ||
| Spring | N/A | Spring Security versions 6.1.1 à 6.1.3 antérieures à 6.1.4 |
References
| Title | Publication Time | Tags | |
|---|---|---|---|
|
|
|||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Security versions 5.8.4 \u00e0 5.8.6 ant\u00e9rieures \u00e0 5.8.7",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Security versions 5.7.9 \u00e0 5.7.10 ant\u00e9rieures \u00e0 5.7.11",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring pour GraphQL versions 1.1.x ant\u00e9rieures \u00e0 1.1.6",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring pour GraphQL versions 1.2.x ant\u00e9rieures \u00e0 1.2.3",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Security versions 6.0.4 \u00e0 6.0.6 ant\u00e9rieures \u00e0 6.0.7",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Security versions 6.1.1 \u00e0 6.1.3 ant\u00e9rieures \u00e0 6.1.4",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2023-34042",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-34042"
},
{
"name": "CVE-2023-34047",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-34047"
}
],
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Spring\u00a0cve-2023-34047 du 18 septembre 2023",
"url": "https://spring.io/security/cve-2023-34047/"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Spring\u00a0cve-2023-34042 du 18 septembre 2023",
"url": "https://spring.io/security/cve-2023-34042/"
}
],
"reference": "CERTFR-2023-AVI-0763",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2023-09-19T00:00:00.000000"
}
],
"risks": [
{
"description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans\u003cspan\nclass=\"textit\"\u003e les produits \u003c/span\u003eSpring. Elles permettent \u00e0 un\nattaquant de provoquer une atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es et une\natteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits Spring",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2023-34047 du 18 septembre 2023",
"url": null
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2023-34042 du 18 septembre 2023",
"url": null
}
]
}
CERTFR-2023-AVI-0679
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans Spring-Kafka. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring pour Apache Kafka versions 3.0.x ant\u00e9rieures \u00e0 3.0.10",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring pour Apache Kafka versions 2.8.1 \u00e0 2.9.x ant\u00e9rieures \u00e0 2.9.11",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2023-34040",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-34040"
}
],
"links": [],
"reference": "CERTFR-2023-AVI-0679",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2023-08-24T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Spring-Kafka. Elle permet \u00e0 un\nattaquant de provoquer une ex\u00e9cution de code arbitraire \u00e0 distance.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Spring-Kafka",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2023-34040 du 23 ao\u00fbt 2023",
"url": "https://spring.io/security/cve-2023-34040/"
}
]
}
CERTFR-2023-AVI-0557
Vulnerability from certfr_avis - Published: - Updated:
De multiples vulnérabilités ont été découvertes dans Spring Security. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | N/A | Spring Security versions 5.7.x antérieures à 5.7.10 | ||
| Spring | N/A | Spring Security versions 5.6.x antérieures à 5.6.12 | ||
| Spring | N/A | Spring Security versions 6.0.x antérieures à 6.0.5 | ||
| Spring | N/A | Spring Security versions 6.1.x antérieures à 6.1.2 | ||
| Spring | N/A | Spring Security versions 5.8.x antérieures à 5.8.5 |
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Security versions 5.7.x ant\u00e9rieures \u00e0 5.7.10",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Security versions 5.6.x ant\u00e9rieures \u00e0 5.6.12",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Security versions 6.0.x ant\u00e9rieures \u00e0 6.0.5",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Security versions 6.1.x ant\u00e9rieures \u00e0 6.1.2",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Security versions 5.8.x ant\u00e9rieures \u00e0 5.8.5",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2023-34034",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-34034"
},
{
"name": "CVE-2023-34035",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-34035"
}
],
"links": [],
"reference": "CERTFR-2023-AVI-0557",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2023-07-18T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Spring Security.\nElles permettent \u00e0 un attaquant de provoquer un contournement de la\npolitique de s\u00e9curit\u00e9.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans Spring Security",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2023-34035 du 17 juillet 2023",
"url": "https://spring.io/security/cve-2023-34035/"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2023-34034 du 17 juillet 2023",
"url": "https://spring.io/security/cve-2023-34034/"
}
]
}
CERTFR-2023-AVI-0551
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans Spring HATEOAS. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring HATEOAS versions 2.1.x ant\u00e9rieures \u00e0 2.1.1",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring HATEOAS versions 2.0.x ant\u00e9rieures \u00e0 2.0.5",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring HATEOAS versions ant\u00e9rieures \u00e0 1.5.5",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2023-34036",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-34036"
}
],
"links": [],
"reference": "CERTFR-2023-AVI-0551",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2023-07-17T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Spring HATEOAS. Elle permet \u00e0 un\nattaquant de provoquer un contournement de la politique de s\u00e9curit\u00e9.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Spring HATEOAS",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2023-34036 du 15 juillet 2023",
"url": "https://spring.io/security/cve-2023-34036/"
}
]
}
CERTFR-2023-AVI-0398
Vulnerability from certfr_avis - Published: - Updated:
De multiples vulnérabilités ont été découvertes dans les produits VMware Spring. Elles permettent à un attaquant de provoquer un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | N/A | Spring Boot versions 2.6.x antérieures à 2.6.15 | ||
| Spring | N/A | Spring Security versions 6.0.x antérieures à 6.0.3 | ||
| Spring | N/A | Spring Security versions 5.7.x antérieures à 5.7.8 | ||
| Spring | N/A | Cadriciel Spring versions 5.3.x antérieures à 5.3.26 | ||
| Spring | N/A | Spring Boot versions 2.7.x antérieures à 2.7.11 | ||
| Spring | N/A | Spring Session versions 3.0.x antérieures à 3.0.1 | ||
| Spring | N/A | Spring Boot toutes versions antérieures à 2.5.15 | ||
| Spring | N/A | Cadriciel Spring versions 6.x antérieures à 6.0.7 | ||
| Spring | N/A | Spring Security versions 5.8.x antérieures à 5.8.3 | ||
| Spring | N/A | Spring Boot versions 3.0.x antérieures à 3.0.6 |
References
| Title | Publication Time | Tags | |||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Boot versions 2.6.x ant\u00e9rieures \u00e0 2.6.15",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Security versions 6.0.x ant\u00e9rieures \u00e0 6.0.3",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Security versions 5.7.x ant\u00e9rieures \u00e0 5.7.8",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Cadriciel Spring versions 5.3.x ant\u00e9rieures \u00e0 5.3.26",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Boot versions 2.7.x ant\u00e9rieures \u00e0 2.7.11",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Session versions 3.0.x ant\u00e9rieures \u00e0 3.0.1",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Boot toutes versions ant\u00e9rieures \u00e0 2.5.15",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Cadriciel Spring versions 6.x ant\u00e9rieures \u00e0 6.0.7",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Security versions 5.8.x ant\u00e9rieures \u00e0 5.8.3",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Boot versions 3.0.x ant\u00e9rieures \u00e0 3.0.6",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2023-20862",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-20862"
},
{
"name": "CVE-2023-20873",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-20873"
},
{
"name": "CVE-2023-20860",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-20860"
},
{
"name": "CVE-2023-20866",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-20866"
},
{
"name": "CVE-2023-20883",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-20883"
}
],
"links": [],
"reference": "CERTFR-2023-AVI-0398",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2023-05-19T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans les produits VMware\nSpring. Elles permettent \u00e0 un attaquant de provoquer un d\u00e9ni de service\n\u00e0 distance et un contournement de la politique de s\u00e9curit\u00e9.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans le cadriciel VMware Spring",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2023-20862 du 17 avril 2023",
"url": "https://spring.io/security/cve-2023-20862/"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2023-20873 du 18 mai 2023",
"url": "https://spring.io/security/cve-2023-20873/"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2023-20883 du 18 mai 2023",
"url": "https://spring.io/security/cve-2023-20883/"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2023-20866 du 12 avril 2023",
"url": "https://spring.io/security/cve-2023-20866/"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2023-20860 du 20 mars 2023",
"url": "https://spring.io/security/cve-2023-20860/"
}
]
}
CERTFR-2022-AVI-994
Vulnerability from certfr_avis - Published: - Updated:
De multiples vulnérabilités ont été découvertes dans VMware Spring. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| N/A | N/A | VSCode Bosh Editor versions antérieures à 1.40.0 | ||
| N/A | N/A | VSCode Concourse CI Pipeline Editor versions antérieures à 1.40.0 | ||
| N/A | N/A | VSCode Cloudfoundry Manifest YML Support versions antérieures à 1.40.0 | ||
| Spring | N/A | VSCode Spring Boot Tools versions antérieures à 1.40.0 | ||
| N/A | N/A | Eclipse STS versions antérieures à 4.16.1 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "VSCode Bosh Editor versions ant\u00e9rieures \u00e0 1.40.0",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
},
{
"description": "VSCode Concourse CI Pipeline Editor versions ant\u00e9rieures \u00e0 1.40.0",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
},
{
"description": "VSCode Cloudfoundry Manifest YML Support versions ant\u00e9rieures \u00e0 1.40.0",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
},
{
"description": "VSCode Spring Boot Tools versions ant\u00e9rieures \u00e0 1.40.0",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Eclipse STS versions ant\u00e9rieures \u00e0 4.16.1",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2022-31691",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-31691"
}
],
"links": [],
"reference": "CERTFR-2022-AVI-994",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2022-11-04T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans VMware Spring.\nElles permettent \u00e0 un attaquant de provoquer une ex\u00e9cution de code\narbitraire \u00e0 distance.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans VMware Spring",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware Spring du 03 novembre 2022",
"url": "https://tanzu.vmware.com/security/cve-2022-31691"
}
]
}
CERTFR-2022-AVI-978
Vulnerability from certfr_avis - Published: - Updated:
De multiples vulnérabilités ont été découvertes dans VMware Spring Security. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité et une élévation de privilèges.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Security versions 5.7.x ant\u00e9rieures \u00e0 5.7.5",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Security versions versions 5.6.x ant\u00e9rieures \u00e0 5.6.9",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2022-31692",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-31692"
},
{
"name": "CVE-2022-31690",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-31690"
}
],
"links": [],
"reference": "CERTFR-2022-AVI-978",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2022-11-02T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "\u00c9l\u00e9vation de privil\u00e8ges"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans VMware Spring\nSecurity. Elles permettent \u00e0 un attaquant de provoquer un contournement\nde la politique de s\u00e9curit\u00e9 et une \u00e9l\u00e9vation de privil\u00e8ges.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans VMware Spring",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware cve-2022-31690 du 31 octobre 2022",
"url": "https://tanzu.vmware.com/security/cve-2022-31690"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware cve-2022-31692 du 31 octobre 2022",
"url": "https://tanzu.vmware.com/security/cve-2022-31692"
}
]
}
CERTFR-2022-AVI-834
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans VMware Spring. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Data REST versions 3.7.x ant\u00e9rieures \u00e0 3.7.3 (inclus dans les versions Spring Boot ult\u00e9rieures \u00e0 2.7.4)",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Data REST versions 3.6.x ant\u00e9rieures \u00e0 3.6.7 (inclus dans les versions Spring Boot ult\u00e9rieures \u00e0 2.6.12)",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2022-31679",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-31679"
}
],
"links": [],
"reference": "CERTFR-2022-AVI-834",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2022-09-20T00:00:00.000000"
}
],
"risks": [
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans VMware Spring. Elle permet \u00e0 un\nattaquant de provoquer une atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans VMware Spring",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware cve-2022-31679 du 19 septembre 2022",
"url": "https://tanzu.vmware.com/security/cve-2022-31679"
}
]
}
CERTFR-2022-AVI-563
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans VMware Spring Cloud Function. Elle permet à un attaquant de provoquer un déni de service à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Cloud Function versions ant\u00e9rieures \u00e0 3.2.6",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2022-22979",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-22979"
}
],
"links": [],
"reference": "CERTFR-2022-AVI-563",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2022-06-16T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans VMware Spring Cloud Function.\nElle permet \u00e0 un attaquant de provoquer un d\u00e9ni de service \u00e0 distance.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans VMware Spring Cloud Function",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware cve-2022-22979 du 15 juin 2022",
"url": "https://tanzu.vmware.com/security/cve-2022-22979"
}
]
}
CERTFR-2022-AVI-454
Vulnerability from certfr_avis - Published: - Updated:
De multiples vulnérabilités ont été découvertes dans VMware Spring. Elles permettent à un attaquant de provoquer un déni de service à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Cadriciel Spring version 5.3.x ant\u00e9rieures \u00e0 5.3.20",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Cadriciel Spring version 5.2.x ant\u00e9rieures \u00e0 5.2.22",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2022-22971",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-22971"
},
{
"name": "CVE-2022-22970",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-22970"
}
],
"links": [],
"reference": "CERTFR-2022-AVI-454",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2022-05-12T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans VMware Spring.\nElles permettent \u00e0 un attaquant de provoquer un d\u00e9ni de service \u00e0\ndistance.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans VMware Spring",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware du 11 mai 2022",
"url": "https://tanzu.vmware.com/security/cve-2022-22971"
}
]
}
CERTFR-2022-AVI-377
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans VMware Spring Security OAuth. Elle permet à un attaquant de provoquer un déni de service à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Security OAuth versions 2.5.x ant\u00e9rieures \u00e0 2.5.2",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2022-22969",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-22969"
}
],
"links": [],
"reference": "CERTFR-2022-AVI-377",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2022-04-21T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans VMware Spring Security OAuth.\nElle permet \u00e0 un attaquant de provoquer un d\u00e9ni de service \u00e0 distance.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans VMware Spring Security OAuth",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware Tanzu du 21 avril 2022",
"url": "https://tanzu.vmware.com/security/cve-2022-22969"
}
]
}
CERTFR-2022-AVI-344
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans VMware Spring. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Cadriciel Spring versions 5.3.X ant\u00e9rieures \u00e0 5.3.19",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Cadriciel Spring versions 5.2.x ant\u00e9rieures \u00e0 5.2.21",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2022-22968",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-22968"
}
],
"links": [],
"reference": "CERTFR-2022-AVI-344",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2022-04-14T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans VMware Spring. Elle permet \u00e0 un\nattaquant de provoquer un contournement de la politique de s\u00e9curit\u00e9.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans VMware Spring",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware cve-2022-22968 du 13 avril 2022",
"url": "https://tanzu.vmware.com/security/cve-2022-22968"
}
]
}
CERTFR-2022-AVI-279
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans VMware Spring. Elle permet à un attaquant de provoquer un déni de service à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Cadriciel Spring versions 5.3.X ant\u00e9rieures \u00e0 5.3.17",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2022-22950",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-22950"
}
],
"links": [],
"reference": "CERTFR-2022-AVI-279",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2022-03-29T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans VMware Spring. Elle permet \u00e0 un\nattaquant de provoquer un d\u00e9ni de service \u00e0 distance.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans VMware Spring",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware du 28 mars 2022",
"url": "https://tanzu.vmware.com/security/cve-2022-22950"
}
]
}
CERTFR-2021-AVI-908
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans VMware Spring AMQP. Elle permet à un attaquant de provoquer un déni de service à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring AMQP versions 2.3.x ant\u00e9rieures \u00e0 2.3.12",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring AMQP versions 2.2.x ant\u00e9rieures \u00e0 2.2.20",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2021-22095",
"url": "https://www.cve.org/CVERecord?id=CVE-2021-22095"
}
],
"links": [],
"reference": "CERTFR-2021-AVI-908",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2021-11-30T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans VMware Spring AMQP. Elle permet\n\u00e0 un attaquant de provoquer un d\u00e9ni de service \u00e0 distance.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans VMware Spring AMQP",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware cve-2021-22095 du 29 novembre 2021",
"url": "https://tanzu.vmware.com/security/cve-2021-22095"
}
]
}
CERTFR-2021-AVI-849
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans VMware Spring. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Cloud Gateway versions 2.2.x ant\u00e9rieures \u00e0 2.2.10",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Cloud Gateway versions 3.0.x ant\u00e9rieures \u00e0 3.0.5",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2021-22051",
"url": "https://www.cve.org/CVERecord?id=CVE-2021-22051"
}
],
"links": [],
"reference": "CERTFR-2021-AVI-849",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2021-11-05T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans VMware Spring. Elle permet \u00e0 un\nattaquant de provoquer un contournement de la politique de s\u00e9curit\u00e9.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans VMware Spring",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware cve-2021-22051 du 04 novembre 2021",
"url": "https://tanzu.vmware.com/security/cve-2021-22051"
}
]
}
CERTFR-2021-AVI-824
Vulnerability from certfr_avis - Published: - Updated:
De multiples vulnérabilités ont été découvertes dans VMware Spring. Elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à l'intégrité des données et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | Spring Framework | Spring Framework versions 5.3.x antérieures à 5.3.12 | ||
| Spring | N/A | Spring Cloud OpenFeign versions 2.2.x antérieures à 2.2.10 | ||
| Spring | N/A | Spring AMQP versions 2.3.x antérieures à 2.3.11 | ||
| Spring | Spring Framework | Spring Framework versions 5.2.x antérieures à 5.2.18 | ||
| Spring | N/A | Spring Data REST versions 3.5.x antérieures à 3.5.6 | ||
| Spring | N/A | Spring Data REST versions 3.4.x antérieures à 3.4.14 | ||
| Spring | N/A | Spring Cloud OpenFeign versions 3.0.x antérieures à 3.0.5 | ||
| Spring | N/A | Spring AMQP versions 2.2.x antérieures à 2.2.19 |
References
| Title | Publication Time | Tags | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Framework versions 5.3.x ant\u00e9rieures \u00e0 5.3.12",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Cloud OpenFeign versions 2.2.x ant\u00e9rieures \u00e0 2.2.10",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring AMQP versions 2.3.x ant\u00e9rieures \u00e0 2.3.11",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Framework versions 5.2.x ant\u00e9rieures \u00e0 5.2.18",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Data REST versions 3.5.x ant\u00e9rieures \u00e0 3.5.6",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Data REST versions 3.4.x ant\u00e9rieures \u00e0 3.4.14",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Cloud OpenFeign versions 3.0.x ant\u00e9rieures \u00e0 3.0.5",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring AMQP versions 2.2.x ant\u00e9rieures \u00e0 2.2.19",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [],
"links": [],
"reference": "CERTFR-2021-AVI-824",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2021-10-27T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
},
{
"description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans VMware Spring.\nElles permettent \u00e0 un attaquant de provoquer un d\u00e9ni de service \u00e0\ndistance, une atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es et une atteinte \u00e0 la\nconfidentialit\u00e9 des donn\u00e9es.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans VMware Spring",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware cve-2021-22047 du 26 octobre 2021",
"url": "https://tanzu.vmware.com/security/cve-2021-22047"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware cve-2021-22097 du 26 octobre 2021",
"url": "https://tanzu.vmware.com/security/cve-2021-22097"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware cve-2021-22044 du 26 octobre 2021",
"url": "https://tanzu.vmware.com/security/cve-2021-22044"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware cve-2021-22096 du 26 octobre 2021",
"url": "https://tanzu.vmware.com/security/cve-2021-22096"
}
]
}
CERTFR-2018-AVI-111
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans les produits Pivotal . Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Data REST versions ant\u00e9rieures \u00e0 2.5.12, 2.6.7 et 3.0 RC3",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Boot versions ant\u00e9rieures \u00e0 2.0.0M4",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Data release train versions ant\u00e9rieures \u00e0 Kay-RC3",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2017-8046",
"url": "https://www.cve.org/CVERecord?id=CVE-2017-8046"
}
],
"links": [
{
"title": "Billet de blogue lgtm du 01 mars 2018",
"url": "https://lgtm.com/blog/spring_data_rest_CVE-2017-8046"
}
],
"reference": "CERTFR-2018-AVI-111",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2018-03-05T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans les produits Pivotal . Elle\npermet \u00e0 un attaquant de provoquer une ex\u00e9cution de code arbitraire \u00e0\ndistance.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans les produits Pivotal",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Pivotal du 01 mars 2018",
"url": "https://pivotal.io/security/cve-2017-8046"
}
]
}
CERTFR-2022-ALE-002
Vulnerability from certfr_alerte - Published: - Updated:
Une vulnérabilité a été découverte dans VMware Spring Cloud Gateway. Elle permet à un attaquant de forger une requête malveillante spécialement conçue afin de provoquer une exécution de code arbitraire à distance.
Les applications utilisant Spring Cloud Gateway sont vulnérables à une attaque par injection de code lorsque le point de terminaison (endpoint) Gateway Actuator est activé, exposé et non sécurisé. Il est défini par la route par défaut /actuator/gateway.
Des preuves de concept sont actuellement disponibles sur internet.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Cloud Gateway versions 3.1.x ant\u00e9rieures \u00e0 3.1.1",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Cloud Gateway versions 3.0.x ant\u00e9rieures \u00e0 3.0.7",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"closed_at": "2022-10-07",
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2022-22947",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-22947"
}
],
"links": [
{
"title": "Avis de s\u00e9curit\u00e9 CERTFR-2022-AVI-195",
"url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-195/"
}
],
"reference": "CERTFR-2022-ALE-002",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2022-03-03T00:00:00.000000"
},
{
"description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
"revision_date": "2022-10-07T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans VMware Spring Cloud Gateway.\nElle permet \u00e0 un attaquant de forger une requ\u00eate malveillante\nsp\u00e9cialement con\u00e7ue afin de provoquer une ex\u00e9cution de code arbitraire \u00e0\ndistance.\n\nLes applications utilisant Spring Cloud Gateway sont vuln\u00e9rables \u00e0 une\nattaque par injection de code lorsque le point de terminaison\n(*endpoint*) Gateway Actuator est activ\u00e9, expos\u00e9 et non s\u00e9curis\u00e9. Il est\nd\u00e9fini par la route par d\u00e9faut */actuator/gateway.*\n\nDes preuves de concept sont actuellement disponibles sur internet.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans VMware Spring Cloud Gateway",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware cve-2022-22947 du 01 mars 2022",
"url": "https://tanzu.vmware.com/security/cve-2022-22947"
}
]
}