Spring Framework (CVE-2024-38819, CVE-2024-38820)
Die folgenden Sicherheitslücken werden von Dependency-Checks bei allen Versionen des jadice web toolkit < 5.12 / 5.11.27.3 gefunden:
CVE-2024-38819 (high)
CVE-2024-38820 (low)
Herkunft
Die CVEs kommen durch Spring Boot ins Produkt.
Auswirkungen
Nutzen Angreifer die Lücken erfolgreich aus, können sie unter anderem über präparierte HTTP-Anfragen beliebige Dateien auf Systemen einsehen. Bislang gibt es keine Meldungen zu bereits laufenden Attacken.
Bewertung
portentially affected |
Nutzen Sie jadice web toolkit in der Versionslinie 5.11 und haben die Spring Boot Version nicht durch die aktuellste Version ersetzt (erfordert Spring Enterprise Subscription), dann sind Sie betroffen.
Abhilfe
Migration auf jadice web toolkit >= 5.12 (verfügbar seit 02/2023)