CVE-2024-38820

Data: 2024-10-29

Severity: Medium

CVSS Score: 5.3 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

Riferimenti:

• https://nvd.nist.gov/vuln/detail/CVE-2024-38820

• https://ossindex.sonatype.org/vulnerability/CVE-2024-38820

• https://spring.io/security/cve-2024-38820

Libreria: org.springframework:* < 5.3.41

Descrizione

The fix for CVE-2022-22968 made disallowedFields patterns in DataBinder case insensitive.

However, String.toLowerCase() has some Locale dependent exceptions that could potentially result in fields not protected as expected.

Falso Positivo per GovWay

Nel progetto vengono utilizzate delle versioni ricompilate dei seguenti jar:

• spring-beans-5.3.39-gov4j-1.jar

• spring-context-5.3.39-gov4j-1.jar

• spring-context-support-5.3.39-gov4j-1.jar

• spring-core-5.3.39-gov4j-1.jar

• spring-expression-5.3.39-gov4j-1.jar

• spring-web-5.3.39-gov4j-1.jar

La tag version “v5.3.39” è stata modificata per riportare il contenuto delle modifiche evidenziate nel commit 23656ae sul progetto github spring-projects/spring-framework. Il commit 23656ae contiene il fix “Use Locale.ROOT consistently for toLower/toUpperCase” riferito nel advisory-database di github come risoluzione per CVE-2024-38820.

All’interno degli archivi jar è possibile trovare i file diff (5.3.39.diff, 5.3.39.adjunctToLowerCase.diff, 5.3.39.adjunctToUpperCase.diff, 5.3.9.compileJava11.diff) applicati sui sorgenti del tag “v5.3.39” oltre ai sorgenti “.java” delle classi modificate.

Configuration File: false-positive.xml