Spring4Shell – È stata scoperta una grave vulnerabilità nel Java Spring Framework.
VMWare (responsabile del framework Spring) avrebbe dovuto essere informato del caso martedì sera, ma il processo di correzione e identificazione ufficiale della vulnerabilità con il numero CVE non è mai stato completato, quindi possiamo dire che abbiamo a che fare qui con il -chiamata vulnerabilità di 0 giorni (il lavoratore è stato chiamato Spring4Shell). La questione è così grave che il framework viene utilizzato in molte piattaforme software aziendali basate su Java.
La vulnerabilità è stata divulgata pubblicamente dopo la pubblicazione di un exploit proof-of-concept (PoC) da parte di un ricercatore di sicurezza cinese. Tuttavia, il caso era così misterioso che ha cancellato il suo account Twitter subito dopo che è stata scoperta la vulnerabilità.
Will Dormann, un ricercatore di sicurezza CERT/CC, ha presto confermato che il codice exploit preparato funzionava effettivamente. Tuttavia, ci sono discrepanze sulle condizioni per infettare una macchina.
Spring.io risolve la vulnerabilità di Spring4Shell
VMWare ha recentemente confermato ufficialmente la presenza di una vulnerabilità nella piattaforma (tutti i dettagli possono essere trovati qui). È noto che stiamo parlando della piattaforma Java Development Kit (JDK) versione 9 e successive e dei requisiti specifici per l’applicazione finita (almeno in teoria, poiché potrebbero esserci altri modi per utilizzarla che non sono stati ancora divulgati) .
Alla vulnerabilità è stato assegnato il numero CVE-2022-22965 come vulnerabilità critica. Allo stesso tempo, gli sviluppatori hanno rilasciato nuove versioni di Sprimg Framework 5.3.18/5.2.20 e Spring Boot 2.5.12/2.6.6, che dovrebbero correggere la vulnerabilità.
Fonte: Servizio di sicurezza, Securak, Vesna.
Lascia un commento