CSIRT Toscana Aggiornamenti per VMware Spring (AL01/241028/CSIRT-ITA)
Data:
28 Ottobre 2024 09:33
Sintesi
Aggiornamenti di sicurezza VMware risolvono una vulnerabilità in Spring, noto framework open source per lo sviluppo di applicazioni Java. Tale vulnerabilità, qualora sfruttata, potrebbe consentire il bypass dei meccanismi di sicurezza sui sistemi interessati.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (65,51/100)1.
Tipologia
- Security Restrictions Bypass
Prodotti e versioni affette
Spring:
- 5.7.x, versioni precedenti alla 5.7.13
- 5.8.x, versioni precedenti alla 5.8.15
- 6.0.x, versioni precedenti alla 6.0.13
- 6.1.x, versioni precedenti alla 6.1.11
- 6.2.x, versioni precedenti alla 6.2.7
- 6.3.x, versioni precedenti alla 6.3.4
- Tutte le versioni precedenti non più supportate
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Riferimenti
https://spring.io/security/cve-2024-38821
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.