Spring Framework (CVE-2024-38819, CVE-2024-38820)

Die folgenden Sicherheitslücken werden von Dependency-Checks bei allen Versionen des jadice web toolkit < 5.12 / 5.11.27.3 gefunden:

• CVE-2024-38819 (high)

• CVE-2024-38820 (low)

Herkunft

Die CVEs kommen durch Spring Boot ins Produkt.

Auswirkungen

Nutzen Angreifer die Lücken erfolgreich aus, können sie unter anderem über präparierte HTTP-Anfragen beliebige Dateien auf Systemen einsehen. Bislang gibt es keine Meldungen zu bereits laufenden Attacken.

Bewertung

Nutzen Sie jadice web toolkit in der Versionslinie 5.11 und haben die Spring Boot Version nicht durch die aktuellste Version ersetzt (erfordert Spring Enterprise Subscription), dann sind Sie betroffen.

Abhilfe

• Migration auf jadice web toolkit >= 5.12 (verfügbar seit 02/2023)

Quellen

• Spring Framework CVE-2024-38819 and CVE-2024-38820 published

• CVE-2024-38819: Path traversal vulnerability in functional web frameworks (2nd report)

• CVE-2024-38820: Spring Framework DataBinder Case Sensitive Match Exception