31/03/22
Центр мониторинга и реагирования UserGate сообщает о новой уязвимости нулевого дня в библиотеке Spring, работающей на JDK, которая может нанести урон огромному количеству приложений. На текущий момент CVE ID еще не присвоен. Рабочее название уязвимости - SpringShell.
Уязвимость существует в ядре Spring на JDK версии 9.0 и выше.
В JDK версии 9.0 и выше атакующий может получить доступ к AccessLogValve и передать вредоносные значения поля через параметр связующей функции фреймворка, что приводит к исполнению произвольного кода на целевой системе.
На текущий момент известно, что для эксплуатации уязвимости необходимо два условия: использование Spring MVC framework и JDK версии 9.0 и выше.
Оперативные рекомендации:
- Обновить компонент Spring Cloud Function до версий 3.1.7 и 3.2.3 соответственно;
- Проверить актуальность подписки на модуль Security Updates.
