De beheerders van Spring Framework hebben een noodpatch uitgebracht om een nieuw onthulde fout bij het uitvoeren van externe code aan te pakken die, indien succesvol misbruikt, een niet-geverifieerde aanvaller in staat zou kunnen stellen de controle over een gericht systeem over te nemen.
Bijgehouden als CVE-2022-22965, heeft de zeer ernstige fout gevolgen voor Spring Framework-versies 5.3.0 tot 5.3.17, 5.2.0 tot 5.2.19 en andere oudere, niet-ondersteunde versies. Gebruikers wordt aangeraden om te upgraden naar versies 5.3.18 of later en 5.2.20 of later.
Het Spring Framework is een Java-framework dat infrastructuurondersteuning biedt om webapplicaties te ontwikkelen.
“De kwetsbaarheid heeft invloed op Spring MVC [model–view–controller] en Spring WebFlux-toepassingen die draaien op [Java Development Kit] 9+,” Rossen Stoyanchev van Spring.io zei in een donderdag gepubliceerd advies.
“De specifieke exploit vereist dat de applicatie op Tomcat draait als een WAR-implementatie. Als de applicatie wordt geïmplementeerd als een Spring Boot-uitvoerbare jar, dwz de standaard, is deze niet kwetsbaar voor de exploit. De aard van de kwetsbaarheid is echter meer algemeen, en er kunnen andere manieren zijn om het te exploiteren”, voegde Stoyanchev eraan toe.
“Exploitatie vereist een eindpunt met DataBinder ingeschakeld (bijvoorbeeld een POST-verzoek dat automatisch gegevens van de aanvraagtekst decodeert) en is sterk afhankelijk van de servlet-container voor de toepassing”, Praetoriaanse onderzoekers Anthony Weems en Dallas Kaman zei.
Dat gezegd hebbende, waarschuwde Spring.io dat de “aard van de kwetsbaarheid algemener is” en dat er andere manieren kunnen zijn om de fout te bewapenen die niet aan het licht is gekomen.
De patch arriveert als een Chinees sprekende onderzoeker op 30 maart 2022 kort een GitHub-commit publiceerde die proof-of-concept (PoC) exploitcode voor CVE-2022-22965 bevatte, voordat deze werd verwijderd.
Spring.io, een dochteronderneming van VMware, merkte op dat het voor het eerst werd gewaarschuwd voor de kwetsbaarheid “dinsdagavond laat, bijna middernacht, GMT-tijd door codeplutos, meizjm3i van AntGroup FG Security Lab.” Het heeft ook cyberbeveiligingsbedrijf Praetorian gecrediteerd voor het melden van de fout.
