Un autre jour, un autre jour zéro. Ce temps, des chercheurs en sécurité ont découvert un contournement pour un ancien zero-day, exécution de code distant faille dans le framework Spring Core, peu de temps après la fuite d'un exploit de preuve de concept sur GitHub. Spring Core est un framework Java largement connu pour la création d'applications Web Java.
Un contournement pour le Zero-Day CVE-2010-1622 disponible
Selon la société de cybersécurité Praetorian, Spring Core sur JDK9 + est sujet à l'exécution de code à distance en raison d'un contournement de la vulnérabilité CVE-2010-1622.
« Au moment où j'écris, cette vulnérabilité n'est pas corrigée dans Spring Framework et une preuve de concept publique est disponible,» Les chercheurs.
Dans des configurations spécifiques, l'exploitation de CVE-2010-1622 est simple, car il suffit qu'un attaquant envoie une requête HTTP spécialement conçue à un système exposé. Cependant, pour exploiter différentes configurations, les acteurs de la menace devraient faire des recherches supplémentaires pour trouver des charges utiles efficaces. Dans le cas d'un exploit réussi, des attaquants non authentifiés pourront exécuter du code arbitraire sur le système ciblé.
Heureusement, il y a un remède, une atténuation temporaire, pour réparer la condition vulnérable:
“Dans le cadre du printemps, DataBinder a une fonctionnalité pour interdire certains modèles. Comme atténuation temporaire de cette vulnérabilité, Praetorian recommande de créer un composant ControllerAdvice (qui est un composant Spring partagé entre les contrôleurs) et ajouter des modèles dangereux à la liste de refus”, les chercheurs ajoutée.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: