Spring4shell

Spring framework se ha visto afectado por una nueva vulnerabilidad de día 0, esta vulnerabilidad se encuentra en el módulo Core basado en Java de Spring Framework.

Esta vulnerabilidad ha sido confirmada por el equipo de investigación de Rapid7 y también por el mismospring.io, desarrolladores del framework. La confirmación se dio luego de que un desarrollador de habla china publicara un código de explotación que permitía a usuarios no autenticados obtener ejecución de código remota (RCE) en un objetivo con spring framework.

‍

 Si bien el código de explotación fue eliminado, la probabilidad de que se venda en la deepweb es alta, haciendo vulnerables a los sistemas que aún no cuenten con el parche de seguridad.

 La falla afecta a las aplicaciones Spring MVC y Spring WebFlux que se ejecutan en JDK superiores a laversión 9.

 La vulnerabilidad aún no cuenta con un CVE, sin embargo, spring ya ha lanzado el parche de seguridad para las versiones 5.3.18 y 5.2.20 de spring Framework a través de MavenCentral.

‍

Spring es un framework con bastante popularidad y presente en una gran cantidad de proyectos en web  y el hecho que esta vulnerabilidad no necesite un nivel técnico tan alto para su explotación la vuelven muy peligrosa, por lo que se recomienda parchar cuanto antes.

‍

¿Cómo protegerte de Spring4Shell?

El principal consejo para cualquiera que use Spring Framework es actualizar a las versiones seguras 5.3.18 o 5.2.20.

Apache Software Foundation también ha lanzado versiones parcheadas de Apache Tomcat 10.0.20, 9.0.62 y 8.5.78, en las que el vector de ataque está cerrado en el lado de Tomcat. Los desarrolladores de Spring también han lanzado versiones parcheadas de las extensiones Spring Boot 2.5.12 y 2.6.6 que dependen de la versión parcheada de Spring Framework 5.3.18.

Si por algún motivo no puedes actualizar el software anterior, debes utilizar una de las soluciones alternativas publicadas en el sitio web oficial de Spring.

‍