Spring4Shell Spring Framework RCE Alert
Spring Framework RCE Impacta Spring MVC e Spring WebFlux em execução no JDK 9+. Requer a execução do Tomcat como uma implementação WAR.
Spring4Shell
O Spring Framework RCE afeta o Spring MVC e o Spring WebFlux em execução no JDK 9+. Requer que seja executado no Tomcat como uma implementação WAR.
Spring Framework versões 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 e versões mais antigas estão vulneráveis.
Recomendações: Atualize para o Spring Framework 5.3.18 e 5.2.20 ou superior. Outras opções incluem retornar para Java 8 (mas esse tem outras vulnerabilidades) e desabilitar campos.
Esses artigos explicam remediações, recomendações e orientações de exploração para testes.
CVE-2022-22947 - official VMware post
CVE-2022-22950 - official VMware post
CVE-2022-22963 - official Spring project post
CVE-2022-22965 - official Spring project post
Spring Framework RCE, Early Announcement
https://spring.io/guides/gs/handling-form-submission/
CloudFlare WAF mitigations for Spring4Shell