Alerta de Vulnerabilidades - Spring4Shell
Foi publicada uma atualização de segurança na Spring Framework para mitigar uma vulnerabilidade crítica de Execução de Código Remoto (RCE) (CVE-2022-22965).
A exploração da vulnerabilidade implica que as aplicações Spring MVC ou Spring WebFlux corram em JDK 9+ e em Apache Tomcat como uma implementação WAR. [1]
Caso esta vulnerabilidade seja explorada com sucesso, permite ao atacante a execução de código arbitrário.
Recomenda-se a atualização para as versões Spring Framework 5.3.18+ e Spring Framework 5.2.20+.
Para versões mais antigas e sem suporte, é recomendada a atualização do Apache Tomcat para as versões 10.0.20, 9.0.62 ou 8.5.78 e a aplicação das mitigações mencionadas em [2].
Foi disponibilizada uma ferramenta de deteção da vulnerabilidade [3].
[1] https://tanzu.vmware.com/security/cve-2022-22965
[2] https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement