Vulnerabilità: CVE-2018-1272


Spring Framework, versioni precedenti alla 5.0 5.0.5 e versioni precedenti alla 4.3 4.3.15 e versioni precedenti non supportate, forniscono il supporto lato client per le richieste più parti. Quando Spring MVC o applicazione server Primavera WebFlux (server A) riceve in ingresso da un client remoto e quindi utilizza tale ingresso a fare una richiesta più parti a un altro server (server B), può essere esposto a un attacco, dove un multipart extra è inserito nel contenuto della richiesta dal server a, causando il server B per utilizzare il valore errato per una parte che si aspetta. Ciò potrebbe portare scalata di privilegi, per esempio, se il contenuto parte rappresenta un nome utente o ruoli utente.
http://www.securityfocus.com/bid/103697
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
https://pivotal.io/security/cve-2018-1272
https://pivotal.io/security/cve-2018-1272
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://access.redhat.com/errata/RHSA-2018:1320
https://access.redhat.com/errata/RHSA-2018:2669
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1272

E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi