В популярном Spring Framework выявлена критическая уязвимость нулевого дня

Выявлена критическая уязвимость в программной платформе (фреймворке) Spring Framework с уже имеющимися средствами автоматизации эксплуатации (эксплойтами), 30 марта сообщается в блоге компании в области информационной безопасности Rapid7.

Уязвимость уже получила неофициальное название «Spring4Shell» по аналогии с серией уязвимостей Log4Shell, потрясшей весь мир в конце 2021 года. Он позволяет исполнить свой код на атакуемом сервере неаутентифицированному злоумышленнику.

По оценкам специалистов основной модуль фреймворка Spring Core используется в 74% программных продуктов на языке программирования Java. А Java является наиболее используемым инструментом прикладной разработки.

Снижает опасность уязвимости дополнительные условия, позволяющие ее эксплуатацию. Необходимо, чтобы в продукте была использована аннотация «@RequestMapping» и формат параметров веб-страниц (форм) обрабатывался в формате «наименование=значение», а не JSON или XML. Кроме того, используемая версия Java должна быть не ниже девятой.

Проблема пока остается неисправленной, хотя сторонними разработчиками опубликованы рекомендации по ее устранению. Также в Интернете выявлено не мене четырех различных эксплойтов.