Spring Framework (CVE-2024-38819, CVE-2024-38820)
Die folgenden Sicherheitslücken werden von Dependency-Checks bei allen Versionen des jadice web toolkit < 5.12 / 5.11.27.3 gefunden:
CVE-2024-38819 (high)
CVE-2024-38820 (low)
Betroffene Produkte
| jadice web toolkit | jadice web viewer | jadice viewer (Swing) | Output Organizer | Dossier Organizer | jadice server 5 | jadice flow |
|---|---|---|---|---|---|---|---|
Betroffen | < 5.12 |
|
|
|
|
|
|
Behoben | >= 5.12 |
|
|
|
|
|
|
Herkunft
Die CVEs kommen durch Spring Boot ins Produkt.
Auswirkungen
Nutzen Angreifer die Lücken erfolgreich aus, können sie unter anderem über präparierte HTTP-Anfragen beliebige Dateien auf Systemen einsehen. Bislang gibt es keine Meldungen zu bereits laufenden Attacken.
Bewertung
portentially affected |
Nutzen Sie jadice web toolkit in der Versionslinie 5.11 und haben die Spring Boot Version nicht durch die aktuellste Version ersetzt (erfordert Spring Enterprise Subscription), dann sind Sie betroffen.
Abhilfe
Migration auf jadice web toolkit >= 5.12 (verfügbar seit 02/2023)