CSIRT Toscana Aggiornamenti per VMware Spring (AL06/240412/CSIRT-ITA
Data:
12 Aprile 2024 12:15
Sintesi
Aggiornamenti di sicurezza VMware risolvono una vulnerabilità in Spring, noto framework open source per lo sviluppo di applicazioni Java. Tale vulnerabilità, correlata alle CVE-2024-22259 e CVE-2024-22243, potrebbe permettere il reindirizzamento della navigazione tramite la distribuzione di URL opportunamente predisposte.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: MEDIO/GIALLO (64,23/100)1.
Tipologia
- URL Redirection
- Security Restriction Bypass
Prodotti e versioni affette
Spring Framework:
- 6.1.x, dalla versione 6.1.0 alla 6.1.5
- 6.0.x, dalla versione 6.0.0 alla 6.0.18
- 5.3.x, dalla versione 5.3.0 alla 5.3.33
- versioni precedenti non più supportate
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Riferimenti
https://spring.io/security/cve-2024-22262
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.