CVSS: 5.9EPSS: 0%CPEs: 5EXPL: 0CVE-2017-8039
https://notcve.org/view.php?id=CVE-2017-8039
An issue was discovered in Pivotal Spring Web Flow through 2.4.5. Applications that do not change the value of the MvcViewFactoryCreator useSpringBinding property which is disabled by default (i.e., set to 'false') can be vulnerable to malicious EL expressions in view states that process form submissions but do not have a sub-element to declare explicit data binding property mappings. NOTE: this issue exists because of an incomplete fix for CVE-2017-4971. Se ha descubierto un problema en Pivotal Spring Web Flow hasta la versión 2.4.5. Las aplicaciones que no cambian el valor de la propiedad MvcViewFactoryCreator useSpringBinding, que está deshabilitada por defecto (esto es, marcada como "false"), pueden ser vulnerables a expresiones EL maliciosas en estados de vista que procesan envíos de formulario pero que no tienen un subelemento para declarar asignaciones explícitas de propiedades enlazadas con datos. • http://www.securityfocus.com/bid/100849 https://pivotal.io/security/cve-2017-8039 • CWE-1188: Initialization of a Resource with an Insecure Default •
CVSS: 5.9EPSS: 25%CPEs: 4EXPL: 0CVE-2017-4971
https://notcve.org/view.php?id=CVE-2017-4971
An issue was discovered in Pivotal Spring Web Flow through 2.4.4. Applications that do not change the value of the MvcViewFactoryCreator useSpringBinding property which is disabled by default (i.e., set to 'false') can be vulnerable to malicious EL expressions in view states that process form submissions but do not have a sub-element to declare explicit data binding property mappings. Se detectó un problema en Spring Web Flow hasta versión 2.4.4 de Pivotal. Las aplicaciones que no cambian el valor de la propiedad useSpringBinding de MvcViewFactoryCreator que está deshabilitada por defecto (es decir, ajustada en "false") pueden ser vulnerables a expresiones EL maliciosas en los estados de vista que procesan envíos de formularios pero no tienen un subelemento para declarar asignaciones explícitas de propiedad de enlace de datos. • http://www.securityfocus.com/bid/98785 https://jira.spring.io/browse/SWF-1700 https://pivotal.io/security/cve-2017-4971 • CWE-1188: Initialization of a Resource with an Insecure Default •