Se han identificado vulnerabilidades críticas en productos VMware que afectan a la plataforma Spring Framework, utilizadas ampliamente en el desarrollo de aplicaciones empresariales en Java.
Productos afectados:
Spring Framework:
- versiones 6.1.0 al 6.1.11
- versiones 6.0.0 al 6.0.22
- versiones 5.3.0 al 5.3.38
- Todas las versiones anteriores ya no son compatibles
Impacto:
CVE-2024-38809: con una puntuación en CVSSv3 de 9.8, de severidad crítica, esta vulnerabilidad en el Spring Framework podría permitir ataques de Denegación de Servicio (DoS) a través de solicitudes HTTP condicionales que analizan ETags en los encabezados «If-Match» o «If-None-Match».
CVE-2024-38808: con una puntuación en CVSSv3 de 7.5, de severidad alta, es una vulnerabilidad que podría permitir a un actor malicioso provocar interrupciones en el servicio mediante expresiones de lenguaje de expresión Spring (SpEL) diseñadas para tal fin.
Recomendación:
Actualizar a la última versión de los productos de VMware afectados que resuelven las vulnerabilidades encontradas, desde el sitio web oficial.
Referencia:
https://spring.io/security/cve-2024-38808
https://spring.io/security/cve-2024-38809