Lỗi Zero-day nghiêm trọng trong framework Java Spring (CVE-2022-22965). Đã có bản vá.

  • Các nhà phát triển Spring framework đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng thực thi mã từ xa mới được tiết lộ, nếu khai thác thành công có thể cho phép hacker chưa xác thực chiếm quyền kiểm soát hệ thống.
  • Được định danh CVE-2022-22965, lỗ hổng có mức độ nghiêm trọng cao, ảnh hưởng đến các phiên bản Spring Framework 5.3.0 đến 5.3.17, 5.2.0 đến 5.2.19 và các phiên bản cũ hơn. Lỗ hổng ảnh hưởng đến các ứng dụng Spring MVC [model – view – controller] và Spring WebFlux chạy trên [Java Development Kit] 9+”.
  • Để khai thác thì ứng dụng cần chạy trên Tomcat dưới dạng triển khai WAR. Nếu ứng dụng được triển khai dưới dạng jar thực thi Spring Boot (mặc định), thì không dễ bị khai thác. Tuy nhiên, lỗ hổng có thể được vũ khí hoá (weaponize) để khai thác theo nhiều cách khác nhau.
  • Lỗ hổng hiện đã có PoC và có thể bị khai thác tích cực trong thực tế.
  • Người dùng được khuyến nghị nâng cấp lên phiên bản 5.3.18 trở lên và 5.2.20 trở lên.

Chi tiết tham khảo thêm tại: Link

Các tin khác

Microsoft khai tử IE
Microsoft khai tử IE
Sau 25 năm tồn tại, Microsoft cuối cùng cũng quyết định khai tử trình duyệt Internet Explorer vào ngày 17/8/2021.
Chi tiết
Apple trở thành công ty đắt giá nhất thế giới
Apple trở thành công ty đắt giá nhất thế giới
Apple trở thành công ty đắt giá nhất thế giới
Chi tiết
Chiến lược người dùng: Hãy bắt đầu chú trọng vào Chất hơn là Lượng
Chiến lược người dùng: Hãy bắt đầu chú trọng vào Chất hơn là Lượng
Đây cũng là chủ đề được đề cập đến qua phần thảo luận của diễn giả Daphna Gal – Senior Partner Development Manager đến từ AppsFlyer trong buổi Public Workshop mang tên “User Lifetime Value – Make a loyal friend out of your users” do công ty Adsota và AppotaX đồng tổ chức.
Chi tiết