Использование представлений шаблонов с поддержкой механизма сценариев Java (например, JRuby, Jython) в приложениях Spring MVC и Spring WebFlux может привести к раскрытию содержимого файлов за пределами настроенных мест для представлений шаблонов сценариев. Эта проблема затрагивает Spring Framework: с 7.0.0 по 7.0.5, с 6.2.0 по 6.2.16, с 6.1.0 по 6.1.25, с 5.3.0 по 5.3.46.
Показать оригинальное описание (EN)
Use of Java scripting engine enabled (e.g. JRuby, Jython) template views in Spring MVC and Spring WebFlux applications can result in disclosure of content from files outside the configured locations for script template views. This issue affects Spring Framework: from 7.0.0 through 7.0.5, from 6.2.0 through 6.2.16, from 6.1.0 through 6.1.25, from 5.3.0 through 5.3.46.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1