Avis du CERT-FR

Objet: Vulnérabilité dans les produits Spring Security

Gestion du document

Référence	CERTFR-2024-AVI-0232
Titre	Vulnérabilité dans les produits Spring Security
Date de la première version	19 mars 2024
Date de la dernière version	19 mars 2024
Source(s)	Bulletin de sécurité Spring CVE-2024-22257 du 18 mars 2024
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

Contournement de la politique de sécurité

Systèmes affectés

Spring Security versions 5.7.x antérieures à 5.7.12
Spring Security versions 5.8.x antérieures à 5.8.11
Spring Security versions 6.0.x antérieures à 6.0.10
Spring Security versions 6.1.x antérieures à 6.1.8
Spring Security versions 6.2.x antérieures à 6.2.3

Résumé

Une vulnérabilité a été découverte dans les produits Spring Security. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Spring CVE-2024-22257 du 18 mars 2024
https://spring.io/security/cve-2024-22257/
Référence CVE CVE-2024-22257
https://www.cve.org/CVERecord?id=CVE-2024-22257

Gestion détaillée du document

le 19 mars 2024: Version initiale