A critical vulnerability (CVSS Base Score 9.1) in VMware Tanzu Spring Framework allows a remote, anonymous attacker to manipulate files or disclose information. Affected versions are VMware Tanzu Spring Framework versions prior to 6.1.5, 6.0.18, and 5.3.33, with numerous downstream products from Dell, Atlassian, HCL, and others also impacted. The advisory includes a mitigation, and users should apply the relevant patches for their specific product, such as upgrading Spring Framework to version 6.1.5, 6.0.18, or 5.3.33.
[WID-SEC-2024-0639] VMware Tanzu Spring Framework: Schwachstelle ermöglicht Manipulation von Dateien CVSS Base Score 9.1 (kritisch) CVSS Temporal Score 7.9 (hoch) Remoteangriff ja Datum 14.03.2024 Stand UPDATE 24.03.2026 Mitigation ja Betroffene Systeme Betriebssystem Linux UNIX Windows Produktbeschreibung Das Spring Framework bietet ein Entwicklungsmodell für Java mit Infrastrukturunterstützung auf Anwendungsebene. Produkte UPDATE 23.03.2026 Dell Secure Connect Gateway <5.34.00.16 UPDATE 18.11.2025 Atlassian Bitbucket <10.0.2 Atlassian Bitbucket <8.19.25 (LTS) Atlassian Bitbucket <9.4.13 (LTS) UPDATE 29.06.2025 Dell NetWorker <19.13 UPDATE 04.12.2024 HCL Commerce <9.1.17.0 UPDATE 01.07.2024 Hitachi Ops Center UPDATE 18.06.2024 Atlassian Confluence Data Center <8.9.3 Atlassian Confluence <8.5.11 LTS Atlassian Confluence <7.19.24 LTS UPDATE 16.04.2024 Atlassian Bamboo <9.6.1 (LTS) Atlassian Bamboo <9.5.3 Atlassian Bamboo <9.2.13 (LTS) UPDATE 20.03.2024 Shibboleth Identity Provider <5.1.1 Shibboleth Identity Provider <4.3.2 14.03.2024 VMware Tanzu Spring Framework <6.1.5 VMware Tanzu Spring Framework <6.0.18 VMware Tanzu Spring Framework <5.3.33 Angriff Angriff Ein entfernter, anonymer Angreifer kann eine Schwachstelle in VMware Tanzu Spring Framework ausnutzen, um Dateien zu manipulieren oder Informationen offenzulegen. CVE Informationen Versionshistorie Feedback zum Advisory geben