Spring lansează un patch pentru a remedia vulnerabilitatea Spring4Shell

Compania Spring a lansat un patch de tip out-of-band pentru a remedia noua vulnerabilitate de tip zero-day, Spring4Shell, identificată în mediul online înainte de lansarea unui patch.

Recent, un exploit de tip remote code execution pentru o vulnerabilitate din cadrul Spring Framework a fost postat pe GitHub, fiind eliminat în scurt timp. Cu toate acestea, codul a fost partajat și testat de cercetătorii din domeniul securității cibernetice, care au confirmat existența vulnerabilității.

Spring a lansat un comunicat de securitate în care prezintă vulnerabilitatea marcată ca CVE-2022-22965, ce afectează aplicațiile Spring MVC și Spring WebFlux pe JDK (Java Development Kit) 9. Pentru a fi exploatată cu succes, este necesar ca aplicația să ruleze pe Tomcat ca implementare de tip WAR.

Compania a declarat că vulnerabilitatea le-a fost dezvăluită în mod responsabil de către odeplutos și meizjm3i de la AntGroup FG. Aceștia au dezvoltat și testat un patch pentru a remedia vulnerabilitatea.

Versiunile Spring care remediază noua vulnerabilitate sunt:

• Spring Framework 5.3.18 and Spring Framework 5.2.20
• Spring Boot 2.5.12
• Spring Boot 2.6.6

 Administratorii Spring ar trebui să acorde prioritate implementării ultimelor actualizări de securitate, deoarece a fost deja raportat că vulnerabilitatea este exploatată în mod activ.

Sursa: https://www.bleepingcomputer.com/news/security/spring-patches-leaked-spring4shell-zero-day-rce-vulnerability/