Центр мониторинга  и реагирования UserGate сообщает о уязвимость нулевого дня Springshell

Центр мониторинга и реагирования UserGate сообщает о новой уязвимости нулевого дня в библиотеке Spring, работающей на JDK, которая может нанести урон огромному количеству приложений. На текущий момент CVE ID еще не присвоен. Рабочее название уязвимости - SpringShell.

Уязвимость существует в ядре Spring на JDK версии 9.0 и выше.

В JDK версии 9.0 и выше  атакующий может получить доступ к AccessLogValve и передать вредоносные значения поля через параметр связующей функции фреймворка, что приводит к исполнению произвольного кода на целевой системе.

На текущий момент известно, что для эксплуатации уязвимости необходимо два условия: использование Spring MVC framework и JDK версии 9.0 и выше.

Оперативные рекомендации:

• Обновить компонент Spring Cloud Function до версий 3.1.7 и 3.2.3 соответственно;
• Проверить актуальность подписки на модуль Security Updates.