| タイトル | Spring Security と Spring Framework に認証回避の脆弱性 |
|---|---|
| 概要 | Pivotal Software, Inc. が提供する Spring Security と Spring Framework には、認証回避の脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: Macchinettaフレームワーク開発チーム:NTTコムウェア、NTTデータ、NTT |
| 想定される影響 | 遠隔の第三者によって認証機能が回避され、結果として情報が漏えいする可能性があります。 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに最新版へアップデートしてください。 |
| 公表日 | 2018年2月2日0:00 |
| 登録日 | 2018年2月2日12:01 |
| 最終更新日 | 2018年6月14日13:47 |
| CVSS3.0 : 警告 | |
| スコア | 5.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| CVSS2.0 : 警告 | |
| スコア | 5 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:P/I:N/A:N |
| Pivotal Software, Inc. |
| Spring Framework 4.3.0 から 4.3.13 まで |
| Spring Framework 5.0.0 から 5.0.2 まで |
| Spring Security 4.1.0 から 4.1.4 まで |
| Spring Security 4.2.0 から 4.2.3 まで |
| Spring Security 5.0.0 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 3 | [2018年06月14日] 参考情報:National Vulnerability Database (NVD) (CVE-2018-1199) を追加 |
2018年6月14日10:59 |
| 2 | [2018年04月18日] ベンダ情報:富士通 (Interstage Business Application Server: Spring Securityに認証回避の脆弱性(CVE-2018-1199)(2018年4月17日)) を追加 |
2018年4月18日11:10 |
| 1 | [2018年03月27日] ベンダ情報:日本電気 (NV18-004) を追加 |
2018年3月27日10:32 |
| 0 | [2018年02月02日] 掲載 [2018年02月08日] ベンダ情報:Pivotal Software, Inc. の情報を更新 概要:内容を更新 共通脆弱性識別子(CVE):CVE-ID を更新 |
2018年2月17日10:37 |
| 概要 | Spring Security (Spring Security 4.1.x before 4.1.5, 4.2.x before 4.2.4, and 5.0.x before 5.0.1; and Spring Framework 4.3.x before 4.3.14 and 5.0.x before 5.0.3) does not consider URL path parameters when processing security constraints. By adding a URL path parameter with special encodings, an attacker may be able to bypass a security constraint. The root cause of this issue is a lack of clarity regarding the handling of path parameters in the Servlet Specification. Some Servlet containers include path parameters in the value returned for getPathInfo() and some do not. Spring Security uses the value returned by getPathInfo() as part of the process of mapping requests to security constraints. In this particular attack, different character encodings used in path parameters allows secured Spring MVC static resource URLs to be bypassed. |
|---|---|
| 公表日 | 2018年3月17日5:29 |
| 登録日 | 2021年3月1日18:48 |
| 最終更新日 | 2024年11月21日12:59 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:vmware:spring_framework:*:*:*:*:*:*:*:* | 5.0.0 | 5.0.3 | |||
| cpe:2.3:a:vmware:spring_security:*:*:*:*:*:*:*:* | 4.1.0 | 4.1.5 | |||
| cpe:2.3:a:vmware:spring_security:*:*:*:*:*:*:*:* | 4.2.0 | 4.2.4 | |||
| cpe:2.3:a:vmware:spring_security:*:*:*:*:*:*:*:* | 5.0.0 | 5.0.1 | |||
| cpe:2.3:a:vmware:spring_framework:*:*:*:*:*:*:*:* | 4.3.0 | 4.3.14 | |||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:redhat:fuse:1.0:*:*:*:*:*:*:* | |||||
| 構成3 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:oracle:retail_xstore_point_of_service:7.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:rapid_planning:12.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:oracle:rapid_planning:12.2:*:*:*:*:*:*:* | |||||