По данным издания SecurityLab, в популярном фреймворке Spring для разработки веб-приложений на языке Java обнаружена серьезная уязвимость, ставящая под угрозу большое количество уже существующих в интернете ресурсов.
Уязвимость, названная Spring4Shell (CVE-2022-22965), уже успела наделать немало шума в сообществе безопасников, в частности, обсуждалось, насколько давно она существует. Эксперты из Praetorian и Flashpoint сообщают о том, что найденная угроза только появилась и не связана со старыми брешами в безопасности фреймворка.
Опасность Spring4Shell заключается в том, что ее можно использовать удаленно, если сервис или приложение, подверженное атаке, работает на базе серверов Apache Tomcat. В безопасности находятся те, кто использует Spring Boot или встроенный Tomcat.
Эксперты из Flashpoint отмечают, что в сообществе киберпреступников пока не ведутся обсуждения найденной уязвимости, и есть вероятность, что ее пока еще не эксплуатируют достаточно активно. Тем не менее баг слишком легко использовать для взлома приложений, поэтому всем пользователям Spring нужно оперативно обновить фреймворк. Разработчики уже выпустили патч и опубликовали официальный ответ по найденной уязвимости.
Комментарии