Refine your search
16 vulnerabilities found for Spring Framework by Spring
CERTFR-2025-AVI-0883
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans les produits Spring. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données et un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | Spring Framework | Spring Framework versions 5.3.x antérieures à 5.3.46 | ||
| Spring | Cloud Gateway Server | Cloud Gateway versions 4.3.x antérieures à 4.3.2 | ||
| Spring | Cloud Gateway Server | Cloud Gateway versions antérieures à 3.1.12 | ||
| Spring | Cloud Gateway Server | Cloud Gateway versions 4.1.x antérieures à 4.1.12 | ||
| Spring | Spring Framework | Spring Framework versions 6.x antérieures à 6.1.24 | ||
| Spring | Spring Framework | Spring Framework versions 6.2.x antérieures à 6.2.12 | ||
| Spring | Cloud Gateway Server | Cloud Gateway versions 4.0.x antérieures à 4.1.12 | ||
| Spring | Cloud Gateway Server | Cloud Gateway versions 4.2.x antérieures à 4.2.6 |
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Framework versions 5.3.x ant\u00e9rieures \u00e0 5.3.46",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Cloud Gateway versions 4.3.x ant\u00e9rieures \u00e0 4.3.2",
"product": {
"name": "Cloud Gateway Server",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Cloud Gateway versions ant\u00e9rieures \u00e0 3.1.12",
"product": {
"name": "Cloud Gateway Server",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Cloud Gateway versions 4.1.x ant\u00e9rieures \u00e0 4.1.12",
"product": {
"name": "Cloud Gateway Server",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Framework versions 6.x ant\u00e9rieures \u00e0 6.1.24",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Framework versions 6.2.x ant\u00e9rieures \u00e0 6.2.12",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Cloud Gateway versions 4.0.x ant\u00e9rieures \u00e0 4.1.12",
"product": {
"name": "Cloud Gateway Server",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Cloud Gateway versions 4.2.x ant\u00e9rieures \u00e0 4.2.6",
"product": {
"name": "Cloud Gateway Server",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2025-41253",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-41253"
},
{
"name": "CVE-2025-41254",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-41254"
}
],
"initial_release_date": "2025-10-16T00:00:00",
"last_revision_date": "2025-10-16T00:00:00",
"links": [],
"reference": "CERTFR-2025-AVI-0883",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2025-10-16T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans les produits Spring. Elles permettent \u00e0 un attaquant de provoquer une atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es et un contournement de la politique de s\u00e9curit\u00e9.",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits Spring",
"vendor_advisories": [
{
"published_at": "2025-10-15",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2025-41254",
"url": "https://spring.io/security/cve-2025-41254"
},
{
"published_at": "2025-10-15",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2025-41253",
"url": "https://spring.io/security/cve-2025-41253"
}
]
}
CERTFR-2025-AVI-0792
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans les produits Spring. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | Spring Security | Security versions 6.4.x antérieures à 6.4.10 | ||
| Spring | Spring Security | Security versions 6.5.x antérieures à 6.5.4 | ||
| Spring | Spring Framework | Framework versions 5.3.x antérieures à 5.3.45 | ||
| Spring | Spring Framework | Framework versions 6.x antérieures à 6.1.23 | ||
| Spring | Spring Framework | Framework versions 6.2.x antérieures à 6.2.11 |
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Security versions 6.4.x ant\u00e9rieures \u00e0 6.4.10",
"product": {
"name": "Spring Security",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Security versions 6.5.x ant\u00e9rieures \u00e0 6.5.4",
"product": {
"name": "Spring Security",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Framework versions 5.3.x ant\u00e9rieures \u00e0 5.3.45",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Framework versions 6.x ant\u00e9rieures \u00e0 6.1.23",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Framework versions 6.2.x ant\u00e9rieures \u00e0 6.2.11",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2025-41248",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-41248"
},
{
"name": "CVE-2025-41249",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-41249"
}
],
"initial_release_date": "2025-09-16T00:00:00",
"last_revision_date": "2025-09-16T00:00:00",
"links": [],
"reference": "CERTFR-2025-AVI-0792",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2025-09-16T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans les produits Spring. Elles permettent \u00e0 un attaquant de provoquer un contournement de la politique de s\u00e9curit\u00e9.",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits Spring",
"vendor_advisories": [
{
"published_at": "2025-09-15",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2025-41249",
"url": "https://spring.io/security/cve-2025-41249"
},
{
"published_at": "2025-09-15",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2025-41248",
"url": "https://spring.io/security/cve-2025-41248"
}
]
}
CERTFR-2025-AVI-0696
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans Spring Framework. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | Spring Framework | Framework versions 5.3.x antérieures à 5.3.44 | ||
| Spring | Spring Framework | Framework versions 6.2.x antérieures à 6.2.10 | ||
| Spring | Spring Framework | Framework versions 6.x antérieures à 6.1.22 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Framework versions 5.3.x ant\u00e9rieures \u00e0 5.3.44",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Framework versions 6.2.x ant\u00e9rieures \u00e0 6.2.10",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Framework versions 6.x ant\u00e9rieures \u00e0 6.1.22",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2025-41242",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-41242"
}
],
"initial_release_date": "2025-08-14T00:00:00",
"last_revision_date": "2025-08-14T00:00:00",
"links": [],
"reference": "CERTFR-2025-AVI-0696",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2025-08-14T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Spring Framework. Elle permet \u00e0 un attaquant de provoquer un contournement de la politique de s\u00e9curit\u00e9.",
"title": "Vuln\u00e9rabilit\u00e9 dans Spring Framework",
"vendor_advisories": [
{
"published_at": "2025-08-14",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2025-41242",
"url": "https://spring.io/security/cve-2025-41242"
}
]
}
CERTFR-2025-AVI-0506
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans Spring Framework. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | Spring Framework | Framework versions 6.2.x antérieures à 6.2.8 | ||
| Spring | Spring Framework | Framework versions 6.0.x antérieures à 6.0.29 | ||
| Spring | Spring Framework | Framework versions 6.1.x antérieures à 6.1.21 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Framework versions 6.2.x ant\u00e9rieures \u00e0 6.2.8",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Framework versions 6.0.x ant\u00e9rieures \u00e0 6.0.29",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Framework versions 6.1.x ant\u00e9rieures \u00e0 6.1.21",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2025-41234",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-41234"
}
],
"initial_release_date": "2025-06-13T00:00:00",
"last_revision_date": "2025-06-13T00:00:00",
"links": [],
"reference": "CERTFR-2025-AVI-0506",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2025-06-13T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Spring Framework. Elle permet \u00e0 un attaquant de provoquer une ex\u00e9cution de code arbitraire \u00e0 distance.",
"title": "Vuln\u00e9rabilit\u00e9 dans Spring Framework",
"vendor_advisories": [
{
"published_at": "2025-06-12",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2025-41234",
"url": "https://spring.io/security/cve-2025-41234"
}
]
}
CERTFR-2025-AVI-0417
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans Spring Framework. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | Spring Framework | Framework versions 6.2.x antérieures à 6.2.7 | ||
| Spring | Spring Framework | Framework versions 5.3.x antérieures à 5.3.43 | ||
| Spring | Spring Framework | Framework versions 6.0.x antérieures à 6.0.28 | ||
| Spring | Spring Framework | Framework versions 6.1.x antérieures à 6.1.20 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Framework versions 6.2.x ant\u00e9rieures \u00e0 6.2.7",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Framework versions 5.3.x ant\u00e9rieures \u00e0 5.3.43",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Framework versions 6.0.x ant\u00e9rieures \u00e0 6.0.28",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Framework versions 6.1.x ant\u00e9rieures \u00e0 6.1.20",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2025-22233",
"url": "https://www.cve.org/CVERecord?id=CVE-2025-22233"
}
],
"initial_release_date": "2025-05-16T00:00:00",
"last_revision_date": "2025-05-16T00:00:00",
"links": [],
"reference": "CERTFR-2025-AVI-0417",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2025-05-16T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Spring Framework. Elle permet \u00e0 un attaquant de provoquer un contournement de la politique de s\u00e9curit\u00e9.",
"title": "Vuln\u00e9rabilit\u00e9 dans Spring Framework",
"vendor_advisories": [
{
"published_at": "2025-05-15",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2025-22233",
"url": "https://spring.io/security/cve-2025-22233"
}
]
}
CERTFR-2024-AVI-0991
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans Spring Framework. Elle permet à un attaquant de provoquer un déni de service à distance.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | Spring Framework | Spring Framework versions antérieures à 5.3.41 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Framework versions ant\u00e9rieures \u00e0 5.3.41",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2024-38828",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-38828"
}
],
"initial_release_date": "2024-11-15T00:00:00",
"last_revision_date": "2024-11-15T00:00:00",
"links": [],
"reference": "CERTFR-2024-AVI-0991",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-11-15T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Spring Framework. Elle permet \u00e0 un attaquant de provoquer un d\u00e9ni de service \u00e0 distance.",
"title": "Vuln\u00e9rabilit\u00e9 dans Spring",
"vendor_advisories": [
{
"published_at": "2024-11-15",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2024-38828",
"url": "https://spring.io/security/cve-2024-38828"
}
]
}
CERTFR-2024-AVI-0914
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans les produits Spring. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
L'éditeur précise que les vulnérabilités affectent uniquement les configurations qui respectent les conditions suivantes : * Application Webflux * Utilisation du support des ressources statiques proposé par Spring * Utilisation d'une règle d'autorisation non-permitAll appliquée sur les ressources statiques
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | Spring Framework | Spring versions 6.2.x antérieures à 6.2.7 | ||
| Spring | Spring Framework | Spring versions 5.7.x antérieures à 5.7.13 | ||
| Spring | Spring Framework | Spring versions 6.0.x antérieures à 6.0.13 | ||
| Spring | Spring Framework | Spring versions 6.1.x antérieures à 6.1.11 | ||
| Spring | Spring Framework | Spring versions 6.3.x antérieures à 6.3.4 | ||
| Spring | Spring Framework | Spring versions 5.8.x antérieures à 5.8.15 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring versions 6.2.x ant\u00e9rieures \u00e0 6.2.7",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring versions 5.7.x ant\u00e9rieures \u00e0 5.7.13",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring versions 6.0.x ant\u00e9rieures \u00e0 6.0.13",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring versions 6.1.x ant\u00e9rieures \u00e0 6.1.11",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring versions 6.3.x ant\u00e9rieures \u00e0 6.3.4",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring versions 5.8.x ant\u00e9rieures \u00e0 5.8.15",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": "L\u0027\u00e9diteur pr\u00e9cise que les vuln\u00e9rabilit\u00e9s affectent uniquement les configurations qui respectent les conditions suivantes :\n* Application Webflux\n* Utilisation du support des ressources statiques propos\u00e9 par Spring\n* Utilisation d\u0027une r\u00e8gle d\u0027autorisation *non-permitAll* appliqu\u00e9e sur les ressources statiques",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2024-38821",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-38821"
}
],
"initial_release_date": "2024-10-23T00:00:00",
"last_revision_date": "2024-10-23T00:00:00",
"links": [],
"reference": "CERTFR-2024-AVI-0914",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-10-23T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans les produits Spring. Elle permet \u00e0 un attaquant de provoquer un contournement de la politique de s\u00e9curit\u00e9.",
"title": "Vuln\u00e9rabilit\u00e9 dans les produits Spring",
"vendor_advisories": [
{
"published_at": "2024-10-22",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2024-38821",
"url": "https://spring.io/security/cve-2024-38821"
}
]
}
CERTFR-2024-AVI-0900
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans Spring Framework. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données et un problème de sécurité non spécifié par l'éditeur.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | Spring Framework | Spring Framework versions 5.3.x antérieures à 5.3.41 | ||
| Spring | Spring Framework | Spring Framework versions 6.1.x antérieures à 6.1.14 | ||
| Spring | Spring Framework | Spring Framework versions 6.0.x antérieures à 6.0.25 |
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Framework versions 5.3.x ant\u00e9rieures \u00e0 5.3.41",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Framework versions 6.1.x ant\u00e9rieures \u00e0 6.1.14",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Framework versions 6.0.x ant\u00e9rieures \u00e0 6.0.25",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2024-38819",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-38819"
},
{
"name": "CVE-2024-38820",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-38820"
}
],
"initial_release_date": "2024-10-18T00:00:00",
"last_revision_date": "2024-10-18T00:00:00",
"links": [],
"reference": "CERTFR-2024-AVI-0900",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-10-18T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Spring Framework. Elles permettent \u00e0 un attaquant de provoquer une atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es et un probl\u00e8me de s\u00e9curit\u00e9 non sp\u00e9cifi\u00e9 par l\u0027\u00e9diteur.",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans Spring Framework",
"vendor_advisories": [
{
"published_at": "2024-10-17",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2024-38819",
"url": "https://spring.io/security/cve-2024-38819"
},
{
"published_at": "2024-10-17",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2024-38820",
"url": "https://spring.io/security/cve-2024-38820"
}
]
}
CERTFR-2024-AVI-0776
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans Spring Framework. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | Spring Framework | Framework versions 6.1.x antérieures à 6.1.13 | ||
| Spring | Spring Framework | Framework versions 5.3.x antérieures à 5.3.40 | ||
| Spring | Spring Framework | Framework versions 6.0.x antérieures à 6.0.24 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Framework versions 6.1.x ant\u00e9rieures \u00e0 6.1.13",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Framework versions 5.3.x ant\u00e9rieures \u00e0 5.3.40",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Framework versions 6.0.x ant\u00e9rieures \u00e0 6.0.24",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2024-38816",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-38816"
}
],
"initial_release_date": "2024-09-13T00:00:00",
"last_revision_date": "2024-09-13T00:00:00",
"links": [],
"reference": "CERTFR-2024-AVI-0776",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-09-13T00:00:00.000000"
}
],
"risks": [
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Spring Framework. Elle permet \u00e0 un attaquant de provoquer une atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es.",
"title": "Vuln\u00e9rabilit\u00e9 dans Spring Framework",
"vendor_advisories": [
{
"published_at": "2024-09-12",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2024-38816",
"url": "https://spring.io/security/cve-2024-38816"
}
]
}
CERTFR-2024-AVI-0689
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans Spring Framework. Elles permettent à un attaquant de provoquer un déni de service à distance.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | Spring Framework | Spring Framework versions 6.0.x antérieures à 6.0.23 | ||
| Spring | Spring Framework | Spring Framework versions 6.1.x antérieures à 6.1.12 | ||
| Spring | Spring Framework | Spring Framework versions antérieures à 5.3.39 |
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Framework versions 6.0.x ant\u00e9rieures \u00e0 6.0.23",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Framework versions 6.1.x ant\u00e9rieures \u00e0 6.1.12",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Framework versions ant\u00e9rieures \u00e0 5.3.39",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solutions\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
"cves": [
{
"name": "CVE-2024-38809",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-38809"
},
{
"name": "CVE-2024-38808",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-38808"
}
],
"initial_release_date": "2024-08-16T00:00:00",
"last_revision_date": "2024-08-16T00:00:00",
"links": [],
"reference": "CERTFR-2024-AVI-0689",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-08-16T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Spring Framework. Elles permettent \u00e0 un attaquant de provoquer un d\u00e9ni de service \u00e0 distance.",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans Spring Framework",
"vendor_advisories": [
{
"published_at": "2024-08-14",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2024-38808",
"url": "https://spring.io/security/cve-2024-38808"
},
{
"published_at": "2024-08-14",
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2024-38809",
"url": "https://spring.io/security/cve-2024-38809"
}
]
}
CERTFR-2024-AVI-0298
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans Spring Framework. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | Spring Framework | Spring Framework versions 6.1.x antérieures à 6.1.6 | ||
| Spring | Spring Framework | Spring Framework versions 6.0.x antérieures à 6.0.19 | ||
| Spring | Spring Framework | Spring Framework versions 5.3.x antérieures à 5.3.34 |
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Framework versions 6.1.x ant\u00e9rieures \u00e0 6.1.6",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Framework versions 6.0.x ant\u00e9rieures \u00e0 6.0.19",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Framework versions 5.3.x ant\u00e9rieures \u00e0 5.3.34",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2024-22262",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-22262"
}
],
"initial_release_date": "2024-04-11T00:00:00",
"last_revision_date": "2024-04-11T00:00:00",
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Spring\u00a0CVE-2024-22262 du 11 avril 2024",
"url": "https://spring.io/security/cve-2024-22262/"
}
],
"reference": "CERTFR-2024-AVI-0298",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-04-11T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans\u003cspan class=\"textit\"\u003e Spring\nFramework\u003c/span\u003e. Elle permet \u00e0 un attaquant de provoquer un\ncontournement de la politique de s\u00e9curit\u00e9.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Spring Framework",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring CVE-2024-22262 du 11 avril 2024",
"url": null
}
]
}
CERTFR-2024-AVI-0223
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans Spring Framework. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | Spring Framework | Spring Framework versions 6.0.x antérieures à 6.0.18 | ||
| Spring | Spring Framework | Spring Framework versions 6.1.x antérieures à 6.1.5 | ||
| Spring | Spring Framework | Spring Framework versions 5.3.x antérieures à 5.3.33 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Framework versions 6.0.x ant\u00e9rieures \u00e0 6.0.18",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Framework versions 6.1.x ant\u00e9rieures \u00e0 6.1.5",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Framework versions 5.3.x ant\u00e9rieures \u00e0 5.3.33",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2024-22259",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-22259"
}
],
"initial_release_date": "2024-03-15T00:00:00",
"last_revision_date": "2024-03-15T00:00:00",
"links": [],
"reference": "CERTFR-2024-AVI-0223",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-03-15T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Spring Framework. Elle permet \u00e0\nun attaquant de provoquer un contournement de la politique de s\u00e9curit\u00e9.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Spring Framework",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring CVE-2024-22259 du 14 mars 2024",
"url": "https://spring.io/security/cve-2024-22259/"
}
]
}
CERTFR-2024-AVI-0154
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans Spring Framework. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | Spring Framework | Spring Framework versions antérieures à 5.3.32 | ||
| Spring | Spring Framework | Spring Framework versions 6.0.x antérieures à 6.0.17 | ||
| Spring | Spring Framework | Spring Framework versions 6.1.x antérieures à 6.1.4 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Framework versions ant\u00e9rieures \u00e0 5.3.32",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Framework versions 6.0.x ant\u00e9rieures \u00e0 6.0.17",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Framework versions 6.1.x ant\u00e9rieures \u00e0 6.1.4",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2024-22243",
"url": "https://www.cve.org/CVERecord?id=CVE-2024-22243"
}
],
"initial_release_date": "2024-02-22T00:00:00",
"last_revision_date": "2024-02-22T00:00:00",
"links": [],
"reference": "CERTFR-2024-AVI-0154",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2024-02-22T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Spring Framework. Elle permet \u00e0\nun attaquant de provoquer un contournement de la politique de s\u00e9curit\u00e9.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Spring Framework",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring CVE-2024-22243 du 21 f\u00e9vrier 2024",
"url": "https://spring.io/security/cve-2024-22243"
}
]
}
CERTFR-2023-AVI-0980
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans les produits Spring. Elles permettent à un attaquant de provoquer un déni de service.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | N/A | Reactor Netty versions antérieures à 1.0.39 | ||
| Spring | N/A | Spring Boot versions antérieures à 2.7.18 | ||
| Spring | Spring Framework | Spring Framework versions 6.0.x antérieures à 6.0.14 | ||
| Spring | N/A | Spring Boot versions 3.1.x antérieures à 3.1.6 | ||
| Spring | N/A | Spring Boot versions 3.0.x antérieures à 3.0.13 | ||
| Spring | N/A | Reactor Netty versions 1.1.x antérieures à 1.1.13 |
References
| Title | Publication Time | Tags | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Reactor Netty versions ant\u00e9rieures \u00e0 1.0.39",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Boot versions ant\u00e9rieures \u00e0 2.7.18",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Framework versions 6.0.x ant\u00e9rieures \u00e0 6.0.14",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Boot versions 3.1.x ant\u00e9rieures \u00e0 3.1.6",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Boot versions 3.0.x ant\u00e9rieures \u00e0 3.0.13",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Reactor Netty versions 1.1.x ant\u00e9rieures \u00e0 1.1.13",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2023-34053",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-34053"
},
{
"name": "CVE-2023-34054",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-34054"
},
{
"name": "CVE-2023-34055",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-34055"
}
],
"initial_release_date": "2023-11-27T00:00:00",
"last_revision_date": "2023-11-27T00:00:00",
"links": [],
"reference": "CERTFR-2023-AVI-0980",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2023-11-27T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans \u003cspan\nclass=\"textit\"\u003eles produits Spring\u003c/span\u003e. Elles permettent \u00e0 un\nattaquant de provoquer un d\u00e9ni de service.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits Spring",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2023-34053 du 27 novembre 2023",
"url": "https://spring.io/security/cve-2023-34053/"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2023-34055 du 27 novembre 2023",
"url": "https://spring.io/security/cve-2023-34055/"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Spring cve-2023-34054 du 27 novembre 2023",
"url": "https://spring.io/security/cve-2023-34054/"
}
]
}
CERTFR-2022-AVI-005
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans VMware Spring. Elle permet à un
attaquant de provoquer une atteinte à l'intégrité des données.
Il s'agit d'un suivi de la
vulnérabilité CVE-2021-22096
décrite dans l'avis
CERTFR-2021-AVI-824.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | Spring Framework | Spring cadriciel versions 5.3.x antérieures à 5.3.14 | ||
| Spring | Spring Framework | Spring cadriciel versions 5.2.x antérieures à 5.2.19 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring cadriciel versions 5.3.x ant\u00e9rieures \u00e0 5.3.14",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring cadriciel versions 5.2.x ant\u00e9rieures \u00e0 5.2.19",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2021-22060",
"url": "https://www.cve.org/CVERecord?id=CVE-2021-22060"
},
{
"name": "CVE-2021-22096",
"url": "https://www.cve.org/CVERecord?id=CVE-2021-22096"
}
],
"initial_release_date": "2022-01-06T00:00:00",
"last_revision_date": "2022-01-06T00:00:00",
"links": [],
"reference": "CERTFR-2022-AVI-005",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2022-01-06T00:00:00.000000"
}
],
"risks": [
{
"description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans VMware Spring. Elle permet \u00e0 un\nattaquant de provoquer une atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es. \nIl s\u0027agit d\u0027un suivi de la\nvuln\u00e9rabilit\u00e9\u00a0[CVE-2021-22096](https://www.cve.org/CVERecord?id=CVE-2021-22096)\nd\u00e9crite dans l\u0027avis\n[CERTFR-2021-AVI-824](http://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-824/).\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans Spring Framework",
"vendor_advisories": [
{
"published_at": "2022-01-05",
"title": "Bulletin de s\u00e9curit\u00e9 VMware cve-2021-22060",
"url": "https://tanzu.vmware.com/security/cve-2021-22060"
}
]
}
CERTFR-2021-AVI-824
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans VMware Spring. Elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à l'intégrité des données et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Spring | Spring Framework | Spring Framework versions 5.3.x antérieures à 5.3.12 | ||
| Spring | N/A | Spring Cloud OpenFeign versions 2.2.x antérieures à 2.2.10 | ||
| Spring | N/A | Spring AMQP versions 2.3.x antérieures à 2.3.11 | ||
| Spring | Spring Framework | Spring Framework versions 5.2.x antérieures à 5.2.18 | ||
| Spring | N/A | Spring Data REST versions 3.5.x antérieures à 3.5.6 | ||
| Spring | N/A | Spring Data REST versions 3.4.x antérieures à 3.4.14 | ||
| Spring | N/A | Spring Cloud OpenFeign versions 3.0.x antérieures à 3.0.5 | ||
| Spring | N/A | Spring AMQP versions 2.2.x antérieures à 2.2.19 |
References
| Title | Publication Time | Tags | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Spring Framework versions 5.3.x ant\u00e9rieures \u00e0 5.3.12",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Cloud OpenFeign versions 2.2.x ant\u00e9rieures \u00e0 2.2.10",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring AMQP versions 2.3.x ant\u00e9rieures \u00e0 2.3.11",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Framework versions 5.2.x ant\u00e9rieures \u00e0 5.2.18",
"product": {
"name": "Spring Framework",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Data REST versions 3.5.x ant\u00e9rieures \u00e0 3.5.6",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Data REST versions 3.4.x ant\u00e9rieures \u00e0 3.4.14",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring Cloud OpenFeign versions 3.0.x ant\u00e9rieures \u00e0 3.0.5",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
},
{
"description": "Spring AMQP versions 2.2.x ant\u00e9rieures \u00e0 2.2.19",
"product": {
"name": "N/A",
"vendor": {
"name": "Spring",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [],
"initial_release_date": "2021-10-27T00:00:00",
"last_revision_date": "2021-10-27T00:00:00",
"links": [],
"reference": "CERTFR-2021-AVI-824",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2021-10-27T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
},
{
"description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans VMware Spring.\nElles permettent \u00e0 un attaquant de provoquer un d\u00e9ni de service \u00e0\ndistance, une atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es et une atteinte \u00e0 la\nconfidentialit\u00e9 des donn\u00e9es.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans VMware Spring",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware cve-2021-22047 du 26 octobre 2021",
"url": "https://tanzu.vmware.com/security/cve-2021-22047"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware cve-2021-22097 du 26 octobre 2021",
"url": "https://tanzu.vmware.com/security/cve-2021-22097"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware cve-2021-22044 du 26 octobre 2021",
"url": "https://tanzu.vmware.com/security/cve-2021-22044"
},
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 VMware cve-2021-22096 du 26 octobre 2021",
"url": "https://tanzu.vmware.com/security/cve-2021-22096"
}
]
}