CB-K22/0377 Update 7
Risikostufe 4
Titel:VMware Tanzu Spring Framework: Schwachstelle ermöglicht Ausführen von beliebigem ProgrammcodeDatum:12.04.2022Software:VMware Tanzu Spring Framework < 5.2.20, VMware Tanzu Spring Framework < 5.3.18, Shibboleth Identity Provider < 4.1.6, VMware Tanzu Spring Boot < 2.5.12, VMware Tanzu Spring Boot < 2.6.6, Apache Tomcat < 10.0.20, Apache Tomcat < 8.5.78, Apache Tomcat < 9.0.62, HCL Domino, HCL Notes, SolarWinds Security Event Manager, Red Hat Enterprise LinuxPlattform:Linux, Sonstiges, UNIX, WindowsAuswirkung:Ausführen beliebigen Programmcodes mit den Rechten des DienstesRemoteangriff:JaRisiko:hochCVE Liste:CVE-2022-22965Bezug:
Beschreibung
Das Spring Framework bietet ein Entwicklungsmodell für Java mit Infrastrukturunterstützung auf Anwendungsebene.
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in VMware Tanzu Spring Framework ausnutzen, um beliebigen Programmcode mit den Rechten des Dienstes auszuführen.
Quellen:
- Rapid7 Blog Post vom 2022-03-30
- Sonatype Blog
- Artikel von Praetorian
- Spring Cloud Advisory vom 2022-03-30
- Spring Boot 2.6.6 available now vom 2022-03-31
- Spring Boot 2.5.12 available now vom 2022-03-31
- Spring Framework RCE vom 2022-03-31
- Cisco Security Advisory CISCO-SA-JAVA-SPRING-RCE-ZX9GUC67 vom 2022-04-02
- SonicWall Security Advisory SNWLID-2022-0005 vom 2022-04-02
- VMware Security Advisory VMSA-2022-0010 vom 2022-04-02
- Apache Tomcat Release Notes
- Unify Security Advisory Report OBSO-2204-01 vom 2022-04-04
- HCL Article KB0097763 vom 2022-04-06
- Solarwinds Documentation for Security Event Manager
- Solarwinds Documentation for Security Event Manager
- Solarwinds Documentation for Security Event Manager
- Red Hat Security Advisory RHSA-2022:1306 vom 2022-04-11