Se han detectado múltiples vulnerabilidades en Java Spring Framework que permitirían a un atacante realizar ejecución remota de código (RCE), acceder a los recursos locales de la aplicación afectada y realizar una denegación de servicio (DoS).
Algunos de los produtos afectados son:
- Spring Framework versión 5.3.0 hasta la versión 5.3.17;
- Spring Cloud Function versión 3.1.6 y la versión 3.2.2;
- Spring Core, todas las versiones.
Para visualizar la lista completa de productos afectados acceder al siguiente enlace.
Se recomienda descargar e instalar las actualizaciones de los productos afectados proveídas por el fabricante:
Referencias:
- BOL-CERT-PY-2022-20 Múltiples vulnerabilidades en Java Spring Framework
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-spring
- https://www.securityweek.com/spring4shell-spring-flaws-lead-confusion-concerns-new-log4shell-threat
- https://www.cyberkendra.com/2022/03/rce-0-day-exploit-found-in-spring-cloud.html
- https://www.cyberkendra.com/2022/03/spring4shell-details-and-exploit-code.html
- https://tanzu.vmware.com/security/cve-2022-22950
- https://tanzu.vmware.com/security/cve-2022-22963
- https://nvd.nist.gov/vuln/detail/CVE-2010-1622
- https://thehackernews.com/2022/03/unpatched-java-spring-framework-0-day.html
- https://spring.io/blog/2022/03/29/cve-report-published-for-spring-cloud-function
- https://threatpost.com/critical-rce-bug-spring-log4shell/179173/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/