CB-K22/0377 Update 3
Risikostufe 4
Titel:VMware Tanzu Spring Framework: Schwachstelle ermöglicht Ausführen von beliebigem ProgrammcodeDatum:05.04.2022Software:VMware Tanzu Spring Framework < 5.2.20, VMware Tanzu Spring Framework < 5.3.18, Shibboleth Identity Provider < 4.1.6, VMware Tanzu Spring Boot < 2.5.12, VMware Tanzu Spring Boot < 2.6.6, Apache Tomcat < 10.0.20, Apache Tomcat < 8.5.78, Apache Tomcat < 9.0.62Plattform:Linux, Sonstiges, UNIX, WindowsAuswirkung:Ausführen beliebigen Programmcodes mit den Rechten des DienstesRemoteangriff:JaRisiko:hochCVE Liste:CVE-2022-22965Bezug:
Beschreibung
Das Spring Framework bietet ein Entwicklungsmodell für Java mit Infrastrukturunterstützung auf Anwendungsebene.
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in VMware Tanzu Spring Framework ausnutzen, um beliebigen Programmcode mit den Rechten des Dienstes auszuführen.
Quellen:
- Rapid7 Blog Post vom 2022-03-30
- Sonatype Blog
- Artikel von Praetorian
- Spring Cloud Advisory vom 2022-03-30
- Spring Boot 2.6.6 available now vom 2022-03-31
- Spring Boot 2.5.12 available now vom 2022-03-31
- Spring Framework RCE vom 2022-03-31
- Cisco Security Advisory CISCO-SA-JAVA-SPRING-RCE-ZX9GUC67 vom 2022-04-02
- SonicWall Security Advisory SNWLID-2022-0005 vom 2022-04-02
- VMware Security Advisory VMSA-2022-0010 vom 2022-04-02
- Apache Tomcat Release Notes
- Unify Security Advisory Report OBSO-2204-01 vom 2022-04-04