Spring Framework ha due nuove vulnerabilità gravi 0-day. Gli esperti del CSIRT-Italia: Sono la CVE-2022-22963 e la CVE-2022-22965. Attenzione, sul web c’è già un PoC su come sfruttarle

Spring Framework ha due nuove vulnerabilità gravi di tipo 0-day. Lo hanno denunciato gli esperti di cybersecurity del CSIRT-Italia. Le falle, già risolte dagli sviluppatori, sono la CVE-2022-22963 e la CVE-2022-22965. Se sfruttate potrebbero permettere l’esecuzione di codice da remoto (RCE), comportando la compromissione dell’host. Inoltre, sul web è già disponibile un Proof of Concept (PoC) a riguardo. La prima, nota anche come Spring4Shell – interessa i prodotti Spring MVC e Spring WebFlux, in esecuzione su Tomcat come WAR (Web application ARchive) e che utilizzano JDK 9+. Gli applicativi in formato .jar non risultano al momento essere interessati dalle problematiche. La seconda interessa invece una diversa libreria di Spring Core (Spring Cloud Function) e potrebbe permettere l’esecuzione di codice da remoto tramite una direttiva SpEL (Spring Expression Language) opportunamente predisposta. Peraltro, è possibile che in futuro possano emergere ulteriori vulnerabilità di sicurezza correlate a quelle trattate.