← volver
CVE-2018-1273

CVE-2018-1273

CVSS 9.8 CRITICALEPSS 95.6%● KEVCWE-94
En resumen

Spring Data Commons contiene una falla que permite a atacantes ejecutar código malicioso en el servidor mediante solicitudes especialmente elaboradas. Un atacante sin autenticación puede explotar la forma en que la aplicación procesa entrada de datos para ejecutar comandos arbitrarios.

Detalle técnico

Vulnerabilidad CWE-94 (neutralización inadecuada de elementos especiales) en el vinculador de propiedades de Spring Data Commons permite ejecución remota de código no autenticada mediante parámetros de solicitud maliciosos dirigidos a endpoints REST o vinculación de payload basada en proyección. La explotación requiere acceso de red a los recursos HTTP afectados; el impacto resulta en compromiso total del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.
Spring Data Commons, versions prior to 1.13 to 1.13.10, 2.0 to 2.0.5, and older unsupported versions, contain a property binder vulnerability caused by improper neutralization of special elements. An unauthenticated remote malicious user (or attacker) can supply specially crafted request parameters against Spring Data REST backed HTTP resources or using Spring Data's projection-based request payload binding hat can lead to a remote code execution attack.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Spring by Pivotal · Spring Framework
PoCs públicas encontradas6
githubgithub.com/jas502n/cve-2018-127358githubgithub.com/wearearima/poc-cve-2018-127324githubgithub.com/knqyf263/CVE-2018-127310githubgithub.com/webr0ck/poc-cve-2018-12732githubgithub.com/cved-sources/cve-2018-12730githubgithub.com/hdgokani/CVE-2018-12730
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://mail-archives.apache.org/mod_mbox/ignite-dev/201807.mbox/%3CCAK0qHnqzfzmCDFFi6c5Jok19zNkVCz5Xb4sU%3D0f2J_1i4p46zQ%40mail.gmail.com%3Ehttps://pivotal.io/security/cve-2018-1273https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2018-1273https://www.oracle.com/security-alerts/cpujul2022.html