Spring Framework’ün koruyucuları, başarıyla kullanılırsa kimliği doğrulanmamış bir saldırganın hedeflenen bir sistemin kontrolünü ele geçirmesine izin verebilecek yeni açıklanan bir uzaktan kod yürütme kusurunu gidermek için bir acil durum yaması yayınladı.
olarak izlendi CVE-2022-22965, yüksek önemdeki kusur Spring Framework 5.3.0 – 5.3.17, 5.2.0 – 5.2.19 sürümlerini ve diğer daha eski, desteklenmeyen sürümleri etkiler. Kullanıcıların 5.3.18 veya sonraki sürümlerine ve 5.2.20 veya sonraki sürümlerine yükseltme yapmaları önerilir.
Spring Framework, web uygulamaları geliştirmek için altyapı desteği sunan bir Java çerçevesidir.
“Güvenlik açığı Bahar’ı etkiliyor MVC [model–view–controller] ve üzerinde çalışan Spring WebFlux uygulamaları [Java Development Kit] 9+,” Spring.io’dan Rossen Stoyanchev dedim Perşembe günü yayınlanan bir danışma belgesinde.
“Belirli istismar, uygulamanın bir WAR dağıtımı olarak Tomcat’te çalışmasını gerektirir. Uygulama, Spring Boot yürütülebilir jar olarak, yani varsayılan olarak dağıtılırsa, istismara karşı savunmasız değildir. Ancak, güvenlik açığının doğası daha fazladır. geneldir ve bundan yararlanmanın başka yolları da olabilir,” diye ekledi Stoyanchev.
Praetorian araştırmacıları Anthony Weems ve Dallas Kaman, “İstismar, DataBinder’ın etkin olduğu bir uç nokta gerektirir (örneğin, istek gövdesindeki verilerin kodunu otomatik olarak çözen bir POST isteği) ve büyük ölçüde uygulama için sunucu uygulaması kapsayıcısına bağlıdır.” dedim.
Bununla birlikte, Spring.io, “zafiyetin doğasının daha genel olduğu” ve zafiyeti silahlandırmanın henüz gün yüzüne çıkmamış başka yolları olabileceği konusunda uyardı.
Yama, Çince konuşan bir araştırmacı, kaldırılmadan önce 30 Mart 2022’de CVE-2022-22965 için kavram kanıtı (PoC) istismar kodunu içeren bir GitHub taahhüdünü kısaca yayınladığında geldi.
VMware’in bir yan kuruluşu olan Spring.io, güvenlik açığı konusunda ilk olarak “Salı akşamı geç saatlerde, gece yarısına yakın, GMT saatinde, AntGroup FG Security Lab’ın meizjm3i codeplutos tarafından” uyarıldığını kaydetti. Ayrıca, kusuru bildirdiği için siber güvenlik firması Praetorian’a da kredi verdi.