9VSA22-00605-01 CSIRT comparte vulnerabilidad en Spring Framework
Gobierno de Chile, CSIRT de Gobierno, comparte información sobre una vulnerabilidad crítica en Spring Framework.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, comparte información sobre una vulnerabilidad crítica en Spring Framework. La vulnerabilidad se encuentra siendo explotada y ha sido apodada como “Spring4Shell”.
Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.
Vulnerabilidad
CVE-2022-22965
Impacto
Esta vulnerabilidad crítica permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo. La vulnerabilidad existe debido a una inapropiada validación de inputs. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso total de un sistema vulnerable.
Productos afectados
Pivotal Spring Framework: versiones 5.0.0 - 6.0.0-M3.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Enlaces
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22965
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00605-01