9VSA22-00605-01 CSIRT comparte vulnerabilidad en Spring Framework

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, comparte información sobre una vulnerabilidad crítica en Spring Framework. La vulnerabilidad se encuentra siendo explotada y ha sido apodada como “Spring4Shell”.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidad

CVE-2022-22965

Impacto

Esta vulnerabilidad crítica permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo. La vulnerabilidad existe debido a una inapropiada validación de inputs. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso total de un sistema vulnerable.

Productos afectados                  

Pivotal Spring Framework: versiones 5.0.0 - 6.0.0-M3.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Enlaces

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22965

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00605-01