Zuhause > Cyber ​​Aktuelles > PoC-Code für CVE-2010-1622 gefährdet Spring Core Framework
CYBER NEWS

PoC-Code für CVE-2010-1622 gefährdet Spring Core Framework

durch   |  Last Update:  |  0 Kommentare  

PoC-Code für CVE-2010-1622 gefährdet Spring Core Framework
Ein anderer Tag, ein weiterer Zero-Day. Dieses Mal, Sicherheitsforscher entdeckten eine Umgehung für einen älteren Zero-Day, Remotecodeausführung Fehler im Spring Core Framework, kurz nachdem ein Proof-of-Concept-Exploit an GitHub geleakt wurde. Spring Core ist ein weithin bekanntes Java-Framework zum Erstellen von Java-Webanwendungen.




Ein Bypass für den CVE-2010-1622 Zero-Day verfügbar

Laut der Cybersicherheitsfirma Praetorian, Spring Core auf JDK9+ ist aufgrund einer Umgehung der Schwachstelle CVE-2010-1622 anfällig für die Ausführung von Remote-Code.

„Zum Zeitpunkt des Schreibens, diese Schwachstelle ist im Spring Framework nicht gepatcht und es ist ein öffentlicher Proof-of-Concept verfügbar,“Sagten die Forscher.

In bestimmten Konfigurationen, Die Ausnutzung von CVE-2010-1622 ist unkompliziert, da ein Angreifer lediglich eine präparierte HTTP-Anforderung an ein exponiertes System senden muss. Jedoch, verschiedene Konfigurationen auszunutzen, Bedrohungsakteure müssten zusätzlich recherchieren, um wirksame Payloads zu finden. Im Falle eines erfolgreichen Angriffs, Nicht authentifizierte Angreifer können beliebigen Code auf dem Zielsystem ausführen.
Zum Glück, es gibt Abhilfe, eine vorübergehende Milderung, um den verwundbaren Zustand zu beheben:

“Im Frühlingsrahmen, DataBinder verfügt über Funktionen, um bestimmte Muster zu verbieten. Als vorübergehende Abhilfe für diese Sicherheitsanfälligkeit, Praetorian empfiehlt, eine ControllerAdvice-Komponente zu erstellen (Dies ist eine Spring-Komponente, die von allen Controllern gemeinsam genutzt wird) und Hinzufügen gefährlicher Muster zur Denylist”, die Forscher hinzugefügt.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Zusammenhängende Posts:
  1. Adobe Patches 112 Sicherheitslücken in aktuellem Patch-Paket (CVE-2018-5007) Adobe hat das neueste Patch-Paket veröffentlicht, das eine...
  2. CVE-2018-1000136 in Electron-Framework setzt viele beliebte Apps at Risk CVE-2018-1000136 is the identifier of a security vulnerability in the...
  3. Der Patch-Fehler in der Google Play Core Library gefährdet immer noch hochkarätige Android-Apps A severe vulnerability for the Google Play Core Library was...
  4. Googles Android-Sicherheitsupdate behebt 47 Sicherheitslücken Google hat sein letztes und wahrscheinlich letztes Android-Update geliefert..
  5. CVE-2019-19494: Kabel Haunt Flaw Puts Millionen von Kabelmodems at Risk A new critical security vulnerability that affects cable modems using...
  6. Welches sind die sichersten Smartphones PREIS TOTAL SCORE OS VPN-Verschlüsselung TRACK BLOCK FINGERABDRUCK 1...
  7. CVE-2015-1641 und CVE-2015-2545 Prevail in Microsoft Office Malware Microsoft Office Schwachstellen sind Cyber-Kriminelle "Favoriten. Two of the...
  8. Neues Follina Zero-Day in Microsoft Office gefährdet Unternehmen Folline, jetzt bekannt als CVE-2022-30190 (Minderung ist ebenfalls möglich), ist ...

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Datenschutz-Bestimmungen.
Genau