Когда приложения указывают заголовки ответов HTTP для приложений сервлетов, использующих Spring Security, существует вероятность того, что заголовки HTTP не будут записаны.
Эта проблема затрагивает Spring Security: с 5.7.0 по 5.7.21, с 5.8.0 по 5.8.23, с 6.3.0 по 6.3.14, с 6.4.0 по 6.4.14, с 6.5.0 по 6.5.8, с 7.0.0 по 7.0.3.
Показать оригинальное описание (EN)
When applications specify HTTP response headers for servlet applications using Spring Security, there is the possibility that the HTTP Headers will not be written. This issue affects Spring Security: from 5.7.0 through 5.7.21, from 5.8.0 through 5.8.23, from 6.3.0 through 6.3.14, from 6.4.0 through 6.4.14, from 6.5.0 through 6.5.8, from 7.0.0 through 7.0.3.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1