Kritisk sårbarhet i Spring Framework
Spring (VWware) har publicerat säkerhetsuppdateringar som hanterar en kritisk sårbarhet i Java-ramverket Spring Framework. Kod för att utnyttja sårbarheten för fjärrexekvering (RCE), finns tillgänglig på internet. [1]
Sårbarheten CVE-2022-22965 påverkar Spring MVC och Spring WebFlux-applikationer som körs på JDK 9+, kan utnyttjas för fjärrexekvering. För att utnyttja sårbarheten krävs att applikationen körs med Tomcat som WAR-distribution. Beroende på hur applikationen är distribuerad kan den vara sårbar eller inte. (Det är därmed inte uteslutet att det kan finnas andra tillvägagångssätt att utnyttja sårbarheten, då denna är av mer generell karaktär.)
Uppdatering 2022-04-12
Vi har fått rapporter om att sårbarheten nu utnyttjas aktivt så se till att uppdatera sårbara system omgående.
Påverkade produkter
Spring Framework, versionerna 5.3.0-5.3.17, 5.2.0-5.2.19Äldre, icke-supporterade versioner påverkas också.Spring Boot
Rekommendationer
CERT-SE rekommenderar att man identifierar Java-webapplikationer i den egna organisationen som använder Spring Framework. Lägg särskild vikt vid system som är exponerade mot internet, därefter interna.Sårbara system bör säkerhetsuppdateras snarast möjligt.
- Spring Framework 5.3.18 och 5.2.20 innehåller rättningar som hanterar sårbarheten.
- Spring Boot 2.6.6 och 2.5.12, som har beroenden till Spring Framework 5.3.18, har också släppts.
Det fortsätter att komma ny information om denna sårbarhet. Fortsätt att följa sårbarheten då nya uppdateringar kan komma på tillverkarens sida. [1,2] CERT-SE kan komma att uppdatera den här artikeln när ny information blir känd.
Källor
[1] https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement