a
b
c
d
FindNews.ru - новости, последние события, хроники.
В Британии одобрили первую вакцину от штамма коронавируса «омикрон»
Сегодня, 03:30
Трамп обвинил агентов ФБР в краже трех паспортов
Сегодня, 03:00
Глава МИД Литвы: Чтобы продолжить санкционное давление на РФ, Европе надо преодолеть свои трудности
Сегодня, 03:00
«Родная Юрмала»: ностальгирующая Собчак привезла сына отдыхать в Латвию
Сегодня, 02:45
«В самом расцвете сил»: играющий мышцами Петросян оказался завидным женихом
Сегодня, 02:45
Фриске сделала выбор между материнством и заработком
Сегодня, 02:45
Не светил в Сети: почему Галкин не показывал, как благодарил российских зрителей
Сегодня, 02:45
«Люди его любят»: Сафронов решил прекратить истерию вокруг незавидного будущего Малахова
Сегодня, 02:45
«Союз Апполонов»: благодаря Герману Витке об этой группе так никто и не услышал
Сегодня, 02:45
РБК: Российская теннисистка на турнире в США пожаловалась на болельщицу с флагом Украины
Сегодня, 02:27

Уязвимости в Spring Framework включены в обновленную базу поиска уязвимостей Solar appScreener

«Ростелеком-Солар» обновил базу поиска уязвимостей анализатора кода приложений Solar appScreener. В обновление вошла обнаруженная критическая уязвимость CVE-2022-22965, затрагивающая работу Java-фреймворка с открытым исходным кодом Spring. Баг позволяет удаленно выполнить произвольный код без аутентификации, благодаря чему по CVSS ему была присвоена оценка опасности угрозы: 9,8/10 баллов.

Уязвимость, выявленная в модуле Spring Core, позволяет привязывать данные в http-запросе к полям объектов приложения. Баг содержится в реализации метода getCachedIntrospectionResults, который может быть использован для несанкционированного доступа к этим объектам при передаче данных имен классов этих объектов через указанный HTTP-запрос.

Уязвимость присутствует в приложениях Spring MVC и Spring WebFlux, работающих под Java Development Kit (версии 9+), эксплуатация которых может привести к компрометации огромного количества серверов. Наиболее высокой угрозе подвержены корпоративные Java-приложения на базе Spring Framework с правами root, так как уязвимость в них позволяет скомпрометировать всю систему. Уязвимость CVE-2022-22965 исправлена в версиях Spring Framework 5.3.18 и 5.2.20.

«Текущая ситуация опасна тем, что во многих организациях не выстроен процесс мониторинга уязвимостей, и несмотря на оперативно выпущенные патчи и распространение рекомендаций по устранению уязвимостей, часть компаний по-прежнему находится под угрозой, — сказал Даниил Чернов, директор центра Solar appScreener компании «Ростелеком-Солар». — Наша исследовательская лаборатория следит за появлением уязвимостей нулевого дня, а команда разработчиков оперативно отражает их в базе поиска уязвимостей Solar appScreener. Так, с начала апреля база правил поиска уязвимостей постоянно пополняется другими обнаруженными багами в Spring: CVE-2022-22963, CVE-2022-22946, CVE-2022-22947, CVE-2022-22950».

Поделиться Подписаться на новости Короткая ссылка

Наука и высокие технологии - другие новости