Los mantenedores de Spring Framework lanzaron un parche de emergencia para abordar una falla de ejecución remota de código recientemente revelada que, si se explota con éxito, podría permitir que un atacante no autenticado tome el control de un sistema objetivo.
rastreado como CVE-2022-22965, la falla de alta gravedad afecta las versiones de Spring Framework 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 y otras versiones anteriores no compatibles. Se recomienda a los usuarios que actualicen a las versiones 5.3.18 o posterior y 5.2.20 o posterior.
Spring Framework es un marco Java que ofrece soporte de infraestructura para desarrollar aplicaciones web.
«La vulnerabilidad impacta a Spring MVC [model–view–controller] y las aplicaciones Spring WebFlux que se ejecutan en [Java Development Kit] 9+», Rossen Stoyanchev de Spring.io dijo en un aviso publicado el jueves.
«El exploit específico requiere que la aplicación se ejecute en Tomcat como una implementación de WAR. Si la aplicación se implementa como un jar ejecutable de Spring Boot, es decir, el valor predeterminado, no es vulnerable al exploit. Sin embargo, la naturaleza de la vulnerabilidad es más general, y puede haber otras formas de explotarlo», agregó Stoyanchev.
«La explotación requiere un punto final con DataBinder habilitado (por ejemplo, una solicitud POST que decodifica los datos del cuerpo de la solicitud automáticamente) y depende en gran medida del contenedor de servlet para la aplicación», los investigadores de Praetorian Anthony Weems y Dallas Kaman. dijo.
Dicho esto, Spring.io advirtió que la «naturaleza de la vulnerabilidad es más general» y que podría haber otras formas de armar la falla que no ha salido a la luz.
El parche llega cuando un investigador de habla china publicó brevemente un compromiso de GitHub que contenía un código de explotación de prueba de concepto (PoC) para CVE-2022-22965 el 30 de marzo de 2022, antes de que fuera eliminado.
Spring.io, una subsidiaria de VMware, señaló que fue alertada por primera vez sobre la vulnerabilidad «el martes por la noche, cerca de la medianoche, hora GMT por codeplutos, meizjm3i de AntGroup FG Security Lab». También le dio crédito a la firma de seguridad cibernética Praetorian por reportar la falla.