CVSS: 6.8EPSS: 0%CPEs: 2EXPL: 0CVE-2021-22097
https://notcve.org/view.php?id=CVE-2021-22097
In Spring AMQP versions 2.2.0 - 2.2.18 and 2.3.0 - 2.3.10, the Spring AMQP Message object, in its toString() method, will deserialize a body for a message with content type application/x-java-serialized-object. It is possible to construct a malicious java.util.Dictionary object that can cause 100% CPU usage in the application if the toString() method is called. En Spring AMQP versiones 2.2.0 - 2.2.18 y 2.3.0 - 2.3.10, el objeto Spring AMQP Message, en su método toString(), deserializará un cuerpo para un mensaje con tipo de contenido application/x-java-serialized-object. Es posible construir un objeto java.util.Dictionary malicioso que puede causar un uso del 100% de la CPU en la aplicación si es llamado al método toString() • https://tanzu.vmware.com/security/cve-2021-22097 • CWE-502: Deserialization of Untrusted Data •
CVSS: 4.3EPSS: 0%CPEs: 11EXPL: 0CVE-2021-22096 – springframework: malicious input leads to insertion of additional log entries
https://notcve.org/view.php?id=CVE-2021-22096
In Spring Framework versions 5.3.0 - 5.3.10, 5.2.0 - 5.2.17, and older unsupported versions, it is possible for a user to provide malicious input to cause the insertion of additional log entries. En Spring Framework versiones 5.3.0 - 5.3.10, 5.2.0 - 5.2.17, y en versiones anteriores no soportadas, es posible para un usuario proporcionar una entrada maliciosa para causar una inserción de entradas de registro adicionales • https://security.netapp.com/advisory/ntap-20211125-0005 https://tanzu.vmware.com/security/cve-2021-22096 https://www.oracle.com/security-alerts/cpuapr2022.html https://access.redhat.com/security/cve/CVE-2021-22096 https://bugzilla.redhat.com/show_bug.cgi?id=2034584 • CWE-117: Improper Output Neutralization for Logs •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2021-22047
https://notcve.org/view.php?id=CVE-2021-22047
In Spring Data REST versions 3.4.0 - 3.4.13, 3.5.0 - 3.5.5, and older unsupported versions, HTTP resources implemented by custom controllers using a configured base API path and a controller type-level request mapping are additionally exposed under URIs that can potentially be exposed for unauthorized access depending on the Spring Security configuration. En Spring Data REST versiones 3.4.0 - 3.4.13, 3.5.0 - 3.5.5, y versiones anteriores no soportadas, los recursos HTTP implementados por controladores personalizados que usan una ruta de API base configurada y un mapeo de peticiones a nivel de tipo de controlador están expuestos adicionalmente bajo URIs que pueden ser potencialmente expuestos para un acceso no autorizado dependiendo de la configuración de Spring Security • https://tanzu.vmware.com/security/cve-2021-22047 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2021-22044
https://notcve.org/view.php?id=CVE-2021-22044
In Spring Cloud OpenFeign 3.0.0 to 3.0.4, 2.2.0.RELEASE to 2.2.9.RELEASE, and older unsupported versions, applications using type-level `@RequestMapping`annotations over Feign client interfaces, can be involuntarily exposing endpoints corresponding to `@RequestMapping`-annotated interface methods. En Spring Cloud OpenFeign versiones 3.0.0 a 3.0.4, 2.2.0.RELEASE a 2.2.9.RELEASE, y versiones anteriores no soportadas, las aplicaciones que usan anotaciones de "@RequestMapping" a nivel de tipo sobre las interfaces de cliente de Feign, pueden estar exponiendo involuntariamente los endpoints correspondientes a métodos de interfaz anotados por "@RequestMapping" • https://tanzu.vmware.com/security/cve-2021-22044 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-22034
https://notcve.org/view.php?id=CVE-2021-22034
Releases prior to VMware vRealize Operations Tenant App 8.6 contain an Information Disclosure Vulnerability. Las versiones anteriores a VMware vRealize Operations Tenant App versión 8.6, contienen una vulnerabilidad de Divulgación de Información • https://www.vmware.com/security/advisories/VMSA-2021-0024.html •