Опасность уязвимости Spring4Shell слишком раздута — ARS Technica

Опасность уязвимости нулевого дня Spring4Shell избыточно раздута специалистами по кибербезопасности, 2 апреля сообщает американское издание об информационных технологиях ARS Technica.

В широко используемой программной платформе (фреймворке) Spring Framework для языка программирования Java в конце марта 2022 года обнаружена серьезная уязвимость, получившая код CVE-2022-22965 и наименование Spring4Shell.

Специалисты в области информационной безопасности из различных компаний и СМИ заявили о крайне высокой угрозе уязвимости и сравнили ее с выявленной в декабре 2021 года Log4Shell. Дополнительную угрозу представляло наличие работающего средства эксплуатации уязвимости (эксплойта), что возвело проблему в статус уязвимости нулевого дня.

Эксплуатация уязвимости в предложенном варианте требует много условий — запуск под веб-сервером Apache Tomcat только в формате веб-архива «.war». Дополнительно требуется, чтобы в продукте была использована аннотация «@RequestMapping» и формат параметров веб-страниц (форм) обрабатывался в формате «наименование=значение», а не JSON или XML.

Требуется слишком много условий, чтобы считать уязвимость особо опасной, считает издание ARS Technica. СМИ схватились за горячую сенсацию, а компании в области кибербезопасности раздули ее, чтобы лучше продавать свои продукты, считают в издании.

Впрочем, проблема еще до конца не изучена и возможны новые, более широкие, способы ее эксплуатации.