| Summary | Applications that use UriComponentsBuilder in Spring Framework to parse an externally provided URL (e.g. through a query parameter) AND perform validation checks on the host of the parsed URL may be vulnerable to a open redirect https://cwe.mitre.org/data/definitions/601.html attack or to a SSRF attack if the URL is used after passing validation checks. This is the same as CVE-2024-22243 https://spring.io/security/cve-2024-22243 , but with different input. |
|---|---|
| Publication Date | March 16, 2024, 2:15 p.m. |
| Registration Date | March 16, 2024, 8 p.m. |
| Last Update | Nov. 21, 2024, 5:55 p.m. |
| Title | VMware の Spring Framework 等複数ベンダの製品におけるオープンリダイレクトの脆弱性 |
|---|---|
| Summary | VMware の Spring Framework 等複数ベンダの製品には、オープンリダイレクトの脆弱性が存在します。 |
| Possible impacts | 情報を取得される、および情報を改ざんされる可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | March 14, 2024, midnight |
| Registration Date | June 11, 2025, 3:37 p.m. |
| Last Update | June 11, 2025, 3:37 p.m. |
| NetApp |
| Active IQ Unified Manager |
| VMware |
| Spring Framework 5.3.33 未満 |
| Spring Framework 6.0.0 以上 6.0.18 未満 |
| Spring Framework 6.1.0 以上 6.1.5 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2025年06月11日] 掲載 | June 11, 2025, 10:29 a.m. |