Приложения Spring MVC и WebFlux уязвимы для повреждения потока при использовании событий, отправленных сервером (SSE). Эта проблема затрагивает Spring Foundation: с 7.0.0 по 7.0.5, с 6.2.0 по 6.2.16, с 6.1.0 по 6.1.25, с 5.3.0 по 5.3.46.
Показать оригинальное описание (EN)
Spring MVC and WebFlux applications are vulnerable to stream corruption when using Server-Sent Events (SSE). This issue affects Spring Foundation: from 7.0.0 through 7.0.5, from 6.2.0 through 6.2.16, from 6.1.0 through 6.1.25, from 5.3.0 through 5.3.46.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1