Spring4Shell-lek in Java Spring Framework - CyberPeak
image

Spring4Shell-lek in Java Spring Framework

CyberPeak waarschuwt voor een kritieke kwetsbaarheid in het Java Spring Framework waardoor een geauthentiseerde aanvaller door het versturen van een request code op kwetsbare systemen kan uitvoeren. Het beveiligingslek heeft de naam “Spring4Shell” gekregen en wordt geïdentificeerd als CVE-2022-22965. Spring is een zeer populair framework voor het ontwikkelen van Java-applicaties.

Het gaat om Spring Framework versies 5.3.18 en 5.2.20 waarmee het probleem wordt verholpen. Daarnaast is bekend gemaakt dat Spring Boot niet kwetsbaar is.

Ook is er een kwetsbaarheid in Spring Cloud gevonden, aangeduid als CVE-2022-22963. Dit lek verschilt echter van Spring4Shell en heeft wel een beveiligingsupdate ontvangen, zo melden securitybedrijven Rapid7, Lunasec, Praetorian en Cyber Kendra.

Het Nationaal Cyber Security Centrum (NCSC) en het Australische Cyber Security Centre (ACSC) hebben beveiligingsadviezen uitgebracht.

Security is a process, not a product

- Bruce Schneier