Vulnérabilités critiques dans Spring Cloud et Spring Framework (Spring4shell)
Date de publication :
Un article relatif à la vulnérabilité CVE-2022-22965 (Spring4shell) a été publié sur le site cyberveille-santé dont le lien est disponible en référence.
Spring est un framework open-source dédié à la conception et à la définition de l’infrastructure d’applications Java.
SpEL (Spring Expression Language) est un langage d’expression utilisé dans le framework Spring.
CVE-2022-22965[Score CVSS v3.1: 9.8]
Cette vulnérabilité est associée à la faille déjà identifiée : Spring4Shell.
Un contrôle insuffisant des données entrées dans l’interface Web permet à un attaquant d’injecter des commandes malveillantes afin d’exécuter du code arbitraire sur le système.
CVE-2022-22963[Score CVSS v3.1: 9.8]
Un contrôle insuffisant des données entrées dans la configuration de routage permet à un attaquant d’utiliser des requêtes SpEL malveillantes afin de s’octroyer un accès aux données ou d’exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire (à distance)
Atteinte à la confidentialité des données
Injection de commandes
Criticité
Score CVSS v3.1: 9.8 max
La faille est activement exploitée
Oui, un exploit (POC) existe pour la CVE-2022-22965 et la CVE-2022-22963 a été ajoutée dans le catalogue des vulnérabilités exploitées du CISA
Un correctif existe
Oui, pour les 2 CVE présentées.
Une mesure de contournement existe
Non, mais une solution d’atténuation existe pour la CVE-2022-22965
Les vulnérabilités exploitées sont du type
Pour la CVE-2022-22965
Pour la CVE-2022-22963
Détails sur l’exploitation
Pour la CVE-2022-22965CVE-2022-22963
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour la CVE-2022-22965
Spring Framework
Les versions 5.3.0 à 5.3.17.
Les versions 5.2.0 à 5.2.19.
Les versions plus anciennes.
Des prérequis pour l'exploit sont nécessaires, les voici :
JDK version 9 ou les versions ultérieures
Apache Tomcat (Servlet container)
Archivé en WAR
Dépendance spring-webmvs ou spring-webflux
Pour la CVE-2022-22963
Spring Cloud Function
La version 3.1.6.
La version 3.2.2.
Les versions plus anciennes.
Solutions ou recommandations
Pour la CVE-2022-22965
- Pour Spring framework version 5.3.0 à 5.3.17, appliquer la mise à jour vers la version 5.3.18 ou toutes autres versions ultérieures.
- Pour Spring framework version 5.2.0 à 5.2.19, appliquer la mise à jour vers la version 5.2.20 ou toutes autres versions ultérieures.
- Une solution d’atténuation proposée par SecurityBoulevard existe est disponible ici. D’autres solutions d’atténuation et des outils de détections sont disponibles ici.
Pour la CVE-2022-22963
- Appliquer la mise à jour de Spring Cloud Function vers les versions 3.1.7 et 3.2.3.