A finals de març es van publicar dues vulnerabilitats crítiques a Java Spring Framework que permeten prendre remotament el control d'aplicacions vulnerables. Aquestes noves vulnerabilitats web, que recorden Log4Shell, estan sent explotades activament en l'actualitat pel que es recomana revisar les aplicacions web i posar pegats al més aviat possible.
Spring4Shell o SpringShell han estat els noms donats a la vulnerabilitat a la qual posteriorment se li va assignar el codi CVE-2022-22965 i que permet arribar a executar codi de forma remota mitjançant una seqüència de peticions HTTP específiques.
La vulnerabilitat de Log4Shell de fa uns mesos, ja va ser qualificada de catastròfica, doncs bé, la Spring4Shell que acaba de sortir a la llum, per a alguns experts afirmen que podria tenir «un impacte més gran«. Bé, tècnicament es tracta de dues vulnerabilitats: 'Spring4Shell' pròpiament dita, també coneguda com a CVE-2022-22965, i una vulnerabilitat menor anomenada CVE-2022-22963.
Estat actual
Per sort, els desenvolupadors de Spring Framework ja han llançat actualitzacions a les versions 5.3.18 i 5.2.20 (més informació aquí), per la qual cosa els desenvolupadors podran apedaçar els seus frameworks i recompilar les aplicacions afectades. Malauradament, les aplicacions que es troben en producció i sense manteniment continuaran sent vulnerables.
