Các nhà bảo trì của Spring Framework đã phát hành một bản vá khẩn cấp để giải quyết một lỗ hổng thực thi mã từ xa mới được tiết lộ, nếu khai thác thành công, có thể cho phép kẻ tấn công chưa được xác thực chiếm quyền kiểm soát hệ thống được nhắm mục tiêu.
Được theo dõi là CVE-2022-22965, lỗ hổng có mức độ nghiêm trọng cao ảnh hưởng đến các phiên bản Spring Framework 5.3.0 đến 5.3.17, 5.2.0 đến 5.2.19 và các phiên bản cũ hơn, không được hỗ trợ khác. Người dùng nên nâng cấp lên phiên bản 5.3.18 trở lên và 5.2.20 trở lên.
Spring Framework là một khung Java cung cấp hỗ trợ cơ sở hạ tầng để phát triển các ứng dụng web.
“Lỗ hổng bảo mật ảnh hưởng đến Spring MVC [model–view–controller] và các ứng dụng Spring WebFlux đang chạy trên [Java Development Kit] 9+, ”Rossen Stoyanchev của Spring.io cho biết trong một lời khuyên được công bố hôm thứ Năm.
“Việc khai thác cụ thể yêu cầu ứng dụng chạy trên Tomcat dưới dạng triển khai WAR. Nếu ứng dụng được triển khai dưới dạng jar thực thi Spring Boot, tức là mặc định, thì nó không dễ bị khai thác. Tuy nhiên, bản chất của lỗ hổng bảo mật nhiều hơn nói chung, và có thể có nhiều cách khác để khai thác nó, “Stoyanchev nói thêm.
“Việc khai thác yêu cầu một điểm cuối có bật DataBinder (ví dụ: yêu cầu POST tự động giải mã dữ liệu từ phần thân yêu cầu) và phụ thuộc rất nhiều vào vùng chứa servlet cho ứng dụng”, các nhà nghiên cứu của Praetorian Anthony Weems và Dallas Kaman cho biết.
Điều đó nói rằng, Spring.io cảnh báo rằng “bản chất của lỗ hổng bảo mật là chung chung hơn” và có thể có những cách khác để vũ khí hóa lỗ hổng chưa được đưa ra ánh sáng.
Bản vá được đưa ra khi một nhà nghiên cứu nói tiếng Trung đã công bố ngắn gọn cam kết GitHub có chứa mã khai thác bằng chứng khái niệm (PoC) cho CVE-2022-22965 vào ngày 30 tháng 3 năm 2022, trước khi nó bị gỡ xuống.
Spring.io, một công ty con của VMware, lưu ý rằng lần đầu tiên nó được cảnh báo về lỗ hổng bảo mật “vào tối thứ Ba, gần nửa đêm, giờ GMT bởi codeplutos, meizjm3i của AntGroup FG Security Lab.” Nó cũng ghi nhận công ty an ninh mạng Praetorian vì đã báo cáo lỗ hổng.
.
