Otro día, otro día cero. Esta vez, investigadores de seguridad descubrieron un desvío para un viejo Día cero, ejecución remota de código falla en el marco Spring Core, poco después de que se filtrara un exploit de prueba de concepto a GitHub. Spring Core es un marco Java ampliamente conocido para crear aplicaciones web Java..
Un bypass para CVE-2010-1622 Zero-Day disponible
Según la firma de ciberseguridad Praetorian, Spring Core en JDK9+ es propenso a la ejecución remota de código debido a una omisión de la vulnerabilidad CVE-2010-1622.
"En el momento de escribir, esta vulnerabilidad no está parcheada en Spring Framework y hay una prueba de concepto pública disponible,”Dijeron los investigadores.
En configuraciones específicas, la explotación de CVE-2010-1622 es sencilla, ya que solo requiere que un atacante envíe una solicitud HTTP manipulada a un sistema expuesto. Sin embargo, para explotar diferentes configuraciones, los actores de amenazas tendrían que investigar adicionalmente para encontrar cargas útiles efectivas. En caso de un ataque exitoso, los atacantes no autenticados podrán ejecutar código arbitrario en el sistema de destino.
Afortunadamente, hay una remediación, una mitigación temporal, para arreglar la condición vulnerable:
“en el marco de primavera, DataBinder tiene funcionalidad para rechazar ciertos patrones. Como mitigación temporal de esta vulnerabilidad, Praetorian recomienda crear un componente ControllerAdvice (que es un componente de Spring compartido entre los controladores) y agregar patrones peligrosos a la lista de denegación”, los investigadores adicional.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: