CSIRT Toscana Aggiornamenti per VMware Spring (AL01/240319/CSIRT-ITA)
Data:
19 Marzo 2024 09:32
Sintesi
Aggiornamenti di sicurezza VMware risolvono una vulnerabilità in Spring, noto framework open source per lo sviluppo di applicazioni Java.
Tale vulnerabilità risiede nella classe AuthenticatedVoter – responsabile della valutazione dei diritti di accesso – di Spring Security. Qualora un’applicazione utilizzi direttamente il metodo AuthenticatedVoter#vote con un oggetto Authentication vuoto o nullo, tale metodo potrebbe permettere l’accesso alla risorsa non riuscendo a verificare correttamente i parametri di autenticazione.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: MEDIO/GIALLO (57,94/100)1.
Tipologia
- Authentication Bypass
- Information Disclosure
- Security Restriction Bypass
Prodotti e versioni affette
Spring Framework:
- 6.2.x, dalla versione 6.2.0 alla 6.2.2
- 6.1.x, dalla versione 6.1.0 alla 6.1.7
- 6.0.x, dalla versione 6.0.0 alla 6.0.9
- 5.8.x, dalla versione 5.8.0 alla 5.8.10
- 5.7.x, dalla versione 5.7.0 alla 5.7.11
- versioni precedenti non più supportate
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Riferimenti
https://spring.io/security/cve-2024-22257
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.