Aggiornamenti recenti Gennaio 26th, 2023 2:30 PM
Apr 05, 2022 Redazione news News, RSS, Vulnerabilità 0
Nel popolare framework open source Spring per lo sviluppo di applicazioni su piattaforma Java è stata individuata la vulnerabilità CVE-2022-22965, che rende possibile l’esecuzione di codice arbitrario su un server Web remoto, come riporta un articolo di Securelist.
Per analogia con la ben nota minaccia Log4Shell, i ricercatori le hanno dato il nome di Spring4Shell (o SpringShell) anche se non ci sono correlazioni tra le due vulnerabilità.
Spring Framework usa funzioni di data binding per associare dati salvati in una richiesta HTTP a degli oggetti usati in un’applicazione. Il bug CVE-2022-22965 è presente nel metodo getCachedIntrospectionResults e si può usare per ottenere accesso non autorizzato ad alcuni oggetti passando i nomi delle loro classi attraverso una richiesta HTTP.
La vulnerabilità crea il rischio di furto di dati ed esecuzione di codice remoto con alcune classi, ed è relativa alle versioni di Spring Framework dalla 5.3.0 alla 5.3.17, dalla 5.2.0 alla 5.2.19 e precedenti.
Come riporta il sito del CSIRT (Computer Security Incident Response Team – Italia) il bug interessa i prodotti Spring MVC e Spring WebFlux, in esecuzione su Tomcat come WAR (Web application ARchive) e che utilizzano JDK 9+. Gli applicativi in formato .jar non risultano vulnerabili. È stato risolto con la versione 2.6.6 di cui potete trovare i dettagli nel blog di Spring.
Spring4Shell è stato scoperto a pochi giorni di distanza dalla vulnerabilità CVE-2022-22963 nella funzionalità di routing di Spring Cloud Function (nelle versioni 3.1.6, 3.2.2 e precedenti) che consente l’iniezione di codice attraverso Spring Expression Language (SpEL). Il bug si può anche sfruttare per esecuzione di codice remoto. I dettagli per risolverla sono riportati sul sito di VMware.
Set 20, 2022 0
Ago 11, 2022 0
Giu 09, 2022 0
Mag 30, 2022 0
Gen 26, 2023 0
Gen 26, 2023 0
Gen 26, 2023 0
Gen 25, 2023 0
Gen 26, 2023 0
Unit 42, il Threat Intelligence Team di Palo Alto Networks...Gen 23, 2023 0
L’Attack Surface Management comprende...Gen 18, 2023 0
Non solo le imprese vengono colpite da attacchi...Gen 17, 2023 0
Da quando lo scorso novembre OpenAI ha rilasciato ChatGPT,...Gen 16, 2023 0
Negli ultimi anni il numero e la pericolosità delle...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Gen 26, 2023 0
Nel tentativo di ridurre gli attacchi a Excel, Microsoft...Gen 26, 2023 0
Kaspersky ha condiviso un’analisi che sottolinea le sfide...Gen 25, 2023 0
Eran Shimony e Omer Tsarfati, ricercatori dei CyberArk...Gen 25, 2023 0
NVIDIA ha annunciato la disponibilità di un nuovo...Gen 24, 2023 0
Nozomi Networks Labs ha pubblicato il nuovo OT/IoT Security...