Data di creazione: 13/09/2024 – 09:28

Sintesi

Aggiornamenti di sicurezza VMware risolvono una vulnerabilità in Spring, noto framework open source per lo sviluppo di applicazioni Java. Tale vulnerabilità, qualora sfruttata, potrebbe permettere l’accesso ad informazioni sensibili presenti sui sistemi target.

Note (aggiornamento del 14/10/2024): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete.

Tipologia

• Arbitrary File Read
• Information Disclosure

Prodotti e versioni affette

Spring Framework

• 6.1.x, versioni dalla 6.1.0 alla 6.1.12
• 6.0.x, versioni dalla 6.0.0 alla 6.0.23
• 5.3.x, versioni dalla 5.3.0 alla 5.3.39
• Tutte le versioni precedenti non più supportate

N.B.: Si evidenzia che i prodotti elencati risultano vulnerabili nel caso in cui siano configurati come indicato nel bollettino di sicurezza VMWare.

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-38816

Riferimenti

https://spring.io/security/cve-2024-38816

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.