Une faille de type ‘zero-day’ dans le framework Spring Java permet l’exécution de code à distance
Une nouvelle vulnérabilité de type ‘zero-day’ appelée ‘Spring4Shell’, elle a été découverte dans le framework Java Spring Core, permettant à acteur de menace d’exécuter de code à distance sur les applications et sans authentification.
Spring est un framework d'application très populaire qui permet aux développeurs de logiciels de développer rapidement et facilement des applications Java dotées de fonctionnalités de niveau entreprise. Ces applications peuvent ensuite être déployées sur des serveurs, tels qu'Apache Tomcat, en tant que paquets autonomes avec toutes les dépendances requises.
La vulnérabilité Spring4Shell a été découverte après qu'un chercheur en sécurité chinois a divulgué un exploit de preuve de concept (PoC) sur GitHub.
Il convient de noter que cette faille est différente de deux vulnérabilités précédentes divulguées, y compris la vulnérabilité DoS de l'expression Spring Framework (CVE-2022-22950) et la vulnérabilité d'accès aux ressources de l'expression Spring Cloud (CVE-2022-22963).
Les chercheurs pensaient initialement que la faille affectait toutes les applications Spring fonctionnant sous Java 9 ou supérieur, il a été déterminé par la suite que certaines conditions spécifiques devaient être remplies pour qu'une application Spring soit vulnérable.
Il est recommandé aux utilisateurs de ce framework d’être proactifs pour s'assurer que leurs applications et services sont protégés contre la vulnérabilité de Spring4Shell.