{"id":65209,"date":"2022-03-31T15:45:09","date_gmt":"2022-03-31T15:45:09","guid":{"rendered":"https:\/\/teknomers.com\/es\/lanzamientos-de-parches-de-seguridad-para-errores-criticos-de-dia-cero-en-java-spring-framework\/"},"modified":"2022-03-31T15:45:19","modified_gmt":"2022-03-31T15:45:19","slug":"lanzamientos-de-parches-de-seguridad-para-errores-criticos-de-dia-cero-en-java-spring-framework","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/lanzamientos-de-parches-de-seguridad-para-errores-criticos-de-dia-cero-en-java-spring-framework\/","title":{"rendered":"Lanzamientos de parches de seguridad para errores cr\u00edticos de d\u00eda cero en Java Spring Framework"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Los mantenedores de Spring Framework lanzaron un parche de emergencia para abordar una falla de ejecuci\u00f3n remota de c\u00f3digo recientemente revelada que, si se explota con \u00e9xito, podr\u00eda permitir que un atacante no autenticado tome el control de un sistema objetivo.<\/p>\n

rastreado como CVE-2022-22965<\/a>, la falla de alta gravedad afecta las versiones de Spring Framework 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 y otras versiones anteriores no compatibles. Se recomienda a los usuarios que actualicen a las versiones 5.3.18 o posterior y 5.2.20 o posterior.<\/p>\n

\"La<\/a><\/div>\n

Spring Framework es un marco Java que ofrece soporte de infraestructura para desarrollar aplicaciones web.<\/p>\n

“La vulnerabilidad impacta a Spring MVC<\/a> [model\u2013view\u2013controller] y las aplicaciones Spring WebFlux que se ejecutan en [Java Development Kit] 9+”, Rossen Stoyanchev de Spring.io dijo<\/a> en un aviso publicado el jueves.<\/p>\n

“El exploit espec\u00edfico requiere que la aplicaci\u00f3n se ejecute en Tomcat como una implementaci\u00f3n de WAR. Si la aplicaci\u00f3n se implementa como un jar ejecutable de Spring Boot, es decir, el valor predeterminado, no es vulnerable al exploit. Sin embargo, la naturaleza de la vulnerabilidad es m\u00e1s general, y puede haber otras formas de explotarlo”, agreg\u00f3 Stoyanchev.<\/p>\n

“La explotaci\u00f3n requiere un punto final con DataBinder habilitado (por ejemplo, una solicitud POST que decodifica los datos del cuerpo de la solicitud autom\u00e1ticamente) y depende en gran medida del contenedor de servlet para la aplicaci\u00f3n”, los investigadores de Praetorian Anthony Weems y Dallas Kaman. dijo<\/a>.<\/p>\n

\"La<\/a><\/div>\n

Dicho esto, Spring.io advirti\u00f3 que la “naturaleza de la vulnerabilidad es m\u00e1s general” y que podr\u00eda haber otras formas de armar la falla que no ha salido a la luz.<\/p>\n

El parche llega cuando un investigador de habla china public\u00f3 brevemente un compromiso de GitHub que conten\u00eda un c\u00f3digo de explotaci\u00f3n de prueba de concepto (PoC) para CVE-2022-22965 el 30 de marzo de 2022, antes de que fuera eliminado.<\/p>\n

Spring.io, una subsidiaria de VMware, se\u00f1al\u00f3 que fue alertada por primera vez sobre la vulnerabilidad “el martes por la noche, cerca de la medianoche, hora GMT por codeplutos, meizjm3i de AntGroup FG Security Lab”. Tambi\u00e9n le dio cr\u00e9dito a la firma de seguridad cibern\u00e9tica Praetorian por reportar la falla.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Los mantenedores de Spring Framework lanzaron un parche de emergencia para abordar una falla de ejecuci\u00f3n remota de<\/p>\n","protected":false},"author":1,"featured_media":65210,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,2127,4664,6215,1478,1225,4662,39632,4770,4668,34276,4667,4654,4658,4659,4653,4655,18,6244,4663,42,4666,4665,33264,4660],"class_list":["post-65209","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-cero","tag-como-hackear","tag-criticos","tag-dia","tag-errores","tag-filtracion-de-datos","tag-framework","tag-java","tag-la-seguridad-informatica","tag-lanzamientos","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-parches","tag-programa-malicioso-ransomware","tag-seguridad","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-spring","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/65209","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=65209"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/65209\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/65210"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=65209"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=65209"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=65209"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}