製品・ソフトウェアに関する情報
脆弱性検索
VMware SpringSource Spring Framework における重要な情報を取得される脆弱性
タイトル VMware SpringSource Spring Framework における重要な情報を取得される脆弱性
概要

VMware SpringSource Spring Framework は、式言語 (Expression Language、EL) をコンテナがサポートしている場合、タグ内の EL 式を 2 回値を求めるため、重要な情報を取得される脆弱性が存在します。

想定される影響 第三者により、下記の項目を介して、重要な情報を取得される可能性があります。  (1) (a) spring:hasBindErrors タグ内の name 属性 (2) (b) spring:bind タグ、または (c) spring:nestedpath タグ内の path 属性 (3) (d) spring:message タグ、または (e) spring:theme タグ内の arguments 属性 (4) (d) spring:message タグ、または (e) spring:theme タグ内の code 属性 (5) (d) spring:message タグ、または (e) spring:theme タグ内の text 属性 (6) (d) spring:message タグ、または (e) spring:theme タグ内の var 属性 (7) (d) spring:message タグ、または (e) spring:theme タグ内の scope 属性 (8) (d) spring:message タグ、または (e) spring:theme タグ内の message 属性 (9) (f) spring:transform タグ内の var 属性 (10) (f) spring:transform タグ内の scope 属性 (11) (f) spring:transform タグ内の value 属性
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2011年9月9日0:00
登録日 2012年12月7日14:59
最終更新日 2013年1月23日14:03
CVSS2.0 : 危険
スコア 7.5
ベクター AV:N/AC:L/Au:N/C:P/I:P/A:P
影響を受けるシステム
VMware
Spring Framework 2.5.0 から 2.5.6.SEC02 (community releases)
Spring Framework 2.5.0 から 2.5.7.SR01 (subscription customers)
Spring Framework 3.0.0 から 3.0.5
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
0 [2012年12月07日]
  掲載
[2013年01月23日]
  CVSS による深刻度:基本値および完全性、可用性への影響を変更		 2018年2月17日10:37
NVD脆弱性情報
CVE-2011-2730
概要

VMware SpringSource Spring Framework before 2.5.6.SEC03, 2.5.7.SR023, and 3.x before 3.0.6, when a container supports Expression Language (EL), evaluates EL expressions in tags twice, which allows remote attackers to obtain sensitive information via a (1) name attribute in a (a) spring:hasBindErrors tag; (2) path attribute in a (b) spring:bind or (c) spring:nestedpath tag; (3) arguments, (4) code, (5) text, (6) var, (7) scope, or (8) message attribute in a (d) spring:message or (e) spring:theme tag; or (9) var, (10) scope, or (11) value attribute in a (f) spring:transform tag, aka "Expression Language Injection."

公表日 2012年12月6日2:55
登録日 2021年1月28日16:39
最終更新日 2024年11月21日10:28
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:springsource:spring_framework:2.5.0:*:*:*:*:*:*:*
cpe:2.3:a:springsource:spring_framework:3.0.1:*:*:*:*:*:*:*
cpe:2.3:a:springsource:spring_framework:2.5.3:*:*:*:*:*:*:*
cpe:2.3:a:springsource:spring_framework:3.0.2:*:*:*:*:*:*:*
cpe:2.3:a:springsource:spring_framework:2.5.5:*:*:*:*:*:*:*
cpe:2.3:a:springsource:spring_framework:2.5.6:*:*:*:*:*:*:*
cpe:2.3:a:springsource:spring_framework:*:*:*:*:*:*:*:* 2.5.7_sr01
cpe:2.3:a:springsource:spring_framework:2.5.0:rc1:*:*:*:*:*:*
cpe:2.3:a:springsource:spring_framework:3.0.4:*:*:*:*:*:*:*
cpe:2.3:a:springsource:spring_framework:2.5.4:*:*:*:*:*:*:*
cpe:2.3:a:springsource:spring_framework:2.5.0:rc2:*:*:*:*:*:*
cpe:2.3:a:springsource:spring_framework:*:*:*:*:*:*:*:* 3.0.5
cpe:2.3:a:springsource:spring_framework:3.0.3:*:*:*:*:*:*:*
cpe:2.3:a:springsource:spring_framework:2.5.2:*:*:*:*:*:*:*
cpe:2.3:a:springsource:spring_framework:2.5.7:*:*:*:*:*:*:*
cpe:2.3:a:springsource:spring_framework:3.0.0:*:*:*:*:*:*:*
cpe:2.3:a:springsource:spring_framework:2.5.1:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧