Les responsables de Spring Framework ont publié un correctif d’urgence pour corriger une faille d’exécution de code à distance récemment révélée qui, si elle est exploitée avec succès, pourrait permettre à un attaquant non authentifié de prendre le contrôle d’un système ciblé.
Suivi comme CVE-2022-22965, la faille de gravité élevée affecte les versions Spring Framework 5.3.0 à 5.3.17, 5.2.0 à 5.2.19 et d’autres versions plus anciennes non prises en charge. Il est recommandé aux utilisateurs de mettre à niveau vers les versions 5.3.18 ou ultérieures et 5.2.20 ou ultérieures.
Spring Framework est un framework Java qui offre un support d’infrastructure pour développer des applications Web.
« La vulnérabilité affecte Spring MVC [model–view–controller] et les applications Spring WebFlux s’exécutant sur [Java Development Kit] 9+ », Rossen Stoyanchev de Spring.io mentionné dans un avis publié jeudi.
« L’exploit spécifique nécessite que l’application s’exécute sur Tomcat en tant que déploiement WAR. Si l’application est déployée en tant que jar exécutable Spring Boot, c’est-à-dire la valeur par défaut, elle n’est pas vulnérable à l’exploit. Cependant, la nature de la vulnérabilité est plus général, et il peut y avoir d’autres façons de l’exploiter », a ajouté Stoyanchev.
« L’exploitation nécessite un point de terminaison avec DataBinder activé (par exemple, une requête POST qui décode automatiquement les données du corps de la requête) et dépend fortement du conteneur de servlet pour l’application », ont déclaré les chercheurs prétoriens Anthony Weems et Dallas Kaman. mentionné.
Cela dit, Spring.io a averti que « la nature de la vulnérabilité est plus générale » et qu’il pourrait y avoir d’autres moyens de militariser la faille qui n’a pas été révélée.
Le correctif arrive alors qu’un chercheur de langue chinoise a brièvement publié un commit GitHub contenant un code d’exploitation de preuve de concept (PoC) pour CVE-2022-22965 le 30 mars 2022, avant qu’il ne soit supprimé.
Spring.io, une filiale de VMware, a indiqué avoir été alerté pour la première fois de la vulnérabilité « mardi soir tard, vers minuit, heure GMT par codeplutos, meizjm3i d’AntGroup FG Security Lab ». Il a également crédité la société de cybersécurité Praetorian pour avoir signalé la faille.