首页 > 安全 > 正文

CISA将Spring4Shell涉及其已知的漏洞漏洞目录

最后更新 :2022.04.05

美国CISA添加了最近公开的远程代码执行(RCE)漏洞Spring4Shell;已知的漏洞漏洞目录。

美国网络安全和基础设施安全局(CISA)增加了最近公开的CVE-2022-22965 (AKA Spring4Shell,CVSS得分:9.8)春季框架中的缺陷,以及其他三个问题,其 已知的漏洞漏洞目录。

根据 绑定运营指令(BOD)22-01:降低已知剥削漏洞的重大风险,FCEB机构必须在截止日期解决所确定的漏洞,以保护其网络免受利用目录中缺陷的攻击。

专家建议私人组织审查目录并解决基础设施中的漏洞。

Spring4Shell问题上周透露,它驻留在春季核心Java Framewo中rk。未经身份验证的远程攻击者可以触发漏洞在目标系统上执行任意代码。该框架目前由Spring.IO维护,这是VMware的子公司。

  spring 框架是Java平台的控制容器的应用程序框架和反演。任何Java应用程序都可以使用框架的核心功能,但是在Java EE(企业版)平台上有扩展了构建Web应用程序。

在中国安全研究员&NBSP之后披露了漏洞;发表 a 概念验证 (poc) 剥离之前 删除其帐户 

,缺陷会影响其许多云计算和虚拟化产品。

缺陷会影响弹簧模型 - 视图 - 控制器(MVC)和SPRINg在Java开发套件9及更高版本上运行的WebFlux应用程序。

Spring4Shell影响VMware Tanzu Applications服务VM,VMware Tanzu Operations Manager和VMware Tanzu Kubernetes网格集成版(TKGI)。

这种缺陷的开发可以允许远程攻击者在易受攻击的系统上执行任意代码。Palo Alto Networks Unit42和Akamai的研究人员已经观察到在野外被利用的问题部署恶意代码。根据SONATYPE发布的统计数据,弹簧框架的潜在弱势版本占MAVEN Central存储库总下载的81%,因为该问题于3月31日开始点亮以来。

CISA也添加了CVE-2022-22675,CVE-2022-22674,CVE-2021-45382缺陷到其目录。必须在2022年4月25日,联邦机构添加到目录中的四个漏洞。

请作为最佳欧洲网络安全博主奖项为2022年投票给您的获奖者

投票给我的弱者最好的个人(非商业)安全博客和Tech Whiz最佳技术博客等您的选择。
提名,请访问: https://forms.gle/4d4pyguvcnxfq6ifa

- END -

    数据加载中,请稍后...
看更多