«Ростелеком-Солар» обновил базу поиска уязвимостей анализатора кода приложений Solar appScreener.
В обновление вошла обнаруженная критическая уязвимость CVE-2022-22965, затрагивающая работу Java-фреймворка с открытым исходным кодом Spring. Баг позволяет удаленно выполнить произвольный код без аутентификации, благодаря чему по CVSS ему была присвоена оценка опасности угрозы: 9.8/10 баллов.
Уязвимость, выявленная в модуле Spring Core, позволяет привязывать данные в http-запросе к полям объектов приложения. Баг содержится в реализации метода getCachedIntrospectionResults, который может быть использован для несанкционированного доступа к этим объектам при передаче данных имен классов этих объектов через указанный HTTP-запрос.
Уязвимость присутствует в приложениях Spring MVC и Spring WebFlux, работающих под Java Development Kit (версии 9+), эксплуатация которых может привести к компрометации огромного количества серверов. Наиболее высокой угрозе подвержены корпоративные Java-приложения на базе Spring Framework с правами root, так как уязвимость в них позволяет скомпрометировать всю систему. Уязвимость CVE-2022-22965 исправлена в версиях Spring Framework 5.3.18 и 5.2.20.
«Ситуация опасна тем, что во многих организациях не выстроен процесс мониторинга уязвимостей, и несмотря на оперативно выпущенные патчи и распространение рекомендаций по устранению уязвимостей, часть компаний по-прежнему находится под угрозой, — говорит Даниил Чернов, директор Центра Solar appScreener компании «Ростелеком-Солар». — Наша исследовательская лаборатория следит за появлением уязвимостей нулевого дня, а команда разработчиков оперативно отражает их в базе поиска уязвимостей Solar appScreener. С начала апреля база правил поиска уязвимостей постоянно пополняется другими обнаруженными багами в Spring: CVE-2022-22963, CVE-2022-22946, CVE-2022-22947, CVE-2022-22950».