VMware corrige la vulnerabilidad RCE Spring4Shell en una amplia gama de productos

La lista de productos afectados por Spring4Shell la ha publicado VMware en el aviso de seguridad que acaba de publicar la compañía. Para los productos no ajustados, VMware también proporciona una solución temporal.

En este punto, los usuarios deben seguir las pautas de seguridad, ya que los piratas informáticos explotan activamente Spring4Shell.

Spring4Shell es una vulnerabilidad de ejecución remota de código (RCE) que se puede rastrear con el código CVE-2022-22965. Esta vulnerabilidad está dentro del alcance de Spring Core Java y puede explotarse sin autenticación, con una clasificación de gravedad de 9,8 sobre 10.

Dado que Spring Framework se implementa ampliamente para el desarrollo de aplicaciones Java, los analistas de seguridad están preocupados por los ataques a gran escala dirigidos a la vulnerabilidad Spring4Shell.

La foto 1 de VMware corrige la vulnerabilidad RCE Spring4Shell en una amplia gama de productos

Peor aún, este método de explotación (PoC) se compartió en GitHub antes de que se lanzaran los parches. Aunque se eliminó de inmediato, este método de explotación se compartió en todas partes en Internet.

Esta vulnerabilidad crítica afecta a las aplicaciones Spring MVC y Spring WebFlux que se ejecutan en JDK 9+. Para funcionar, la aplicación debe ejecutarse en Tomcat como una implementación de WAR, aunque aún se están investigando las limitaciones exactas.

A continuación se muestran los productos de VMware afectados:

  1. Servicio de aplicación VMware Tanzu para VM versiones 2.10 a 2.13.
  2. VMware Tanzu Operation Manager: versión 2.8 a 2.9.
  3. VMware Tanzu Kubernetes Grid Integrated Edition (TKGI): versiones 1.11 a 1.13.

Si usa productos con las versiones anteriores, debe actualizar de inmediato para asegurarse de que se hayan solucionado todas las vulnerabilidades.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!