Ir para conteúdo

Alerta de Vulnerabilidades - Spring4Shell

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Spring Framework versões 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 e anteriores
ECOSSISTEMA
VMWare
Descrição

Foi publicada uma atualização de segurança na Spring Framework para mitigar uma vulnerabilidade crítica de Execução de Código Remoto (RCE) (CVE-2022-22965).
A exploração da vulnerabilidade implica que as aplicações Spring MVC ou Spring WebFlux corram em JDK 9+ e em Apache Tomcat como uma implementação WAR. [1]

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite ao atacante a execução de código arbitrário.

 

Resolução

Recomenda-se a atualização para as versões Spring Framework 5.3.18+ e Spring Framework 5.2.20+.
Para versões mais antigas e sem suporte, é recomendada a atualização do Apache Tomcat para as versões 10.0.20, 9.0.62 ou 8.5.78 e a aplicação das mitigações mencionadas em [2].
Foi disponibilizada uma ferramenta de deteção da vulnerabilidade [3].

 

Referências

[1] https://tanzu.vmware.com/security/cve-2022-22965

[2] https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

[3] https://github.com/hillu/local-spring-vuln-scanner

[4] https://github.com/NCSC-NL/spring4shell/

Última atualização em 07-09-2022