Impatto Sistemico

Alto (65.51)

Sintesi

Rilevate nuove vulnerabilità, tra cui una con gravità “critica” e due con gravità “alta” in Spring, noto framework open‑source per lo sviluppo di applicazioni Java, molto usato in ambito enterprise.

Tipologia

• Authentication Bypass
• Information Disclosure

Prodotti e/o versioni affette

Spring Boot

• 4.0.x, versione 4.0.3 e precedenti
• 3.5.x, versione 3.5.11 e precedenti
• 3.4.x, versione 6.3.14 e precedenti
• 3.3.x, versione 3.3.17 e precedenti
• 2.7.x, versione 2.7.31 e precedenti

Spring Security

• 5.7.x, versione 5.7.21 e precedenti
• 5.8.x, versione 5.8.23 e precedenti
• 6.3.x, versione 6.3.14 e precedenti
• 6.4.x, versione 6.4.14 e precedenti
• 6.5.x, versione 6.5.8 e precedenti
• 7.0.x, versione 7.0.3 e precedenti

N.B. Le versioni di prodotto non più supportate sono da considerare vulnerabili

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica”ed “alta”: