Spring4Shell una vulnerabilidad zero day de gran impacto

Crítica Alerta 5

A finales de marzo se publicaron dos vulnerabilidades críticas en Java Spring Framework que permiten tomar remotamente el control de aplicaciones vulnerables. Estas nuevas vulnerabilidades web, que recuerdan a Log4Shell, están siendo explotadas activamente en la actualidad por lo que se recomienda revisar las aplicaciones web y parchear a la mayor brevedad.

Spring4Shell o SpringShell han sido los nombres dados a la vulnerabilidad a la que posteriormente se le asignó el código CVE-2022-22965 y que permite llegar a ejecutar código de forma remota mediante una secuencia de peticiones HTTP específicas.

La vulnerabilidad de Log4Shell de hace unos meses, ya fue calificada de catastrófica, pues bien, la Spring4Shell que acaba de salir a la luz, para algunos expertos afirman que podría tener «un impacto mayor«. Bueno, técnicamente se trata de dos vulnerabilidades: ‘Spring4Shell’ propiamente dicha, también conocida como CVE-2022-22965, y una vulnerabilidad menor llamada CVE-2022-22963.

Estado actual

Por fortuna, los desarrolladores de Spring Framework han lanzado ya actualizaciones a las versiones 5.3.18 y 5.2.20 (más información aquí), por lo que los desarrolladores podrán parchear sus frameworks y recompilar las aplicaciones afectadas. Por desgracia, las aplicaciones que se encuentran en producción y sin mantenimiento, seguirán siendo vulnerables.

Comparte esta alerta de seguridad:

Deja un comentario

Alertas de seguridad

Mantente informado, recíbelas a tu email