Описание
Уязвимость механизма маршрутизации модуля Spring для продвижения бизнес-логики с помощью функций Spring Cloud Function связана с недостатками процедуры нейтрализации особых элементов в выходных данных, используемых входящим компонентом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к локальным ресурсам или вызвать отказ в обслуживании с помощью специально созданного SpEL-выражения
Вендор
Pivotal Software Inc.
Наименование ПО
Spring Cloud Function
Версия ПО
до 3.1.7 (Spring Cloud Function)
до 3.2.3 (Spring Cloud Function)
Тип ПО
Сетевое средство
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование межсетевых экранов прикладного уровня (WAF) в режиме блокировки для фильтрации HTTP-запросов.
Информация от производителя:
https://www.cyberkendra.com/2022/03/spring4shell-details-and-exploit-code.html
https://tanzu.vmware.com/security/cve-2022-22963
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
5.4 Medium
CVSS3
6.4 Medium
CVSS2
5.4 Medium
CVSS3
6.4 Medium
CVSS2