Un altro giorno, un altro giorno zero. Questa volta, ricercatori di sicurezza hanno scoperto un bypass per un anziano zero-day, esecuzione di codice remoto difetto nel framework Spring Core, poco dopo che un exploit proof-of-concept è trapelato su GitHub. Spring Core è un framework Java ampiamente noto per la creazione di applicazioni Web Java.
Un bypass per il CVE-2010-1622 Zero-Day disponibile
Secondo la società di sicurezza informatica Praetorian, Spring Core su JDK9+ è soggetto all'esecuzione di codice in modalità remota a causa di un bypass per la vulnerabilità CVE-2010-1622.
“Al momento della scrittura, questa vulnerabilità non ha patch in Spring Framework ed è disponibile una prova di concetto pubblica,”I ricercatori hanno detto.
In configurazioni specifiche, lo sfruttamento di CVE-2010-1622 è semplice, poiché richiede solo a un utente malintenzionato di inviare una richiesta HTTP predisposta a un sistema esposto. Tuttavia, per sfruttare diverse configurazioni, gli attori delle minacce dovrebbero effettuare ulteriori ricerche per trovare carichi utili efficaci. In caso di riuscito exploit, gli aggressori non autenticati saranno in grado di eseguire codice arbitrario sul sistema preso di mira.
Per fortuna, c'è una riparazione, una mitigazione temporanea, per riparare la condizione vulnerabile:
“Nel quadro primaverile, DataBinder ha funzionalità per non consentire determinati modelli. Come mitigazione temporanea per questa vulnerabilità, Praetorian consiglia di creare un componente ControllerAdvice (che è un componente Spring condiviso tra i controller) e aggiungendo schemi pericolosi alla lista dei rifiuti”, i ricercatori aggiunto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: