Impatto Sistemico

Medio (63.33)

Sintesi

Aggiornamenti di sicurezza VMware risolvono una vulnerabilità in Spring, noto framework open source per lo sviluppo di applicazioni Java. Tale vulnerabilità riguarda la funzione BCryptPasswordEncoder.matches(CharSequence, String) in Spring Security: a determinate condizioni la funzione potrebbe permettere il bypass dei meccanismi di autenticazione per password più lunghe di 72 caratteri.

Tipologia

• Authentication Bypass

Prodotti e versioni affette

Spring:

• 5.7.x, versioni precedenti alla 5.7.16
• 5.8.x, versioni precedenti alla 5.8.18
• 6.0.x, versioni precedenti alla 6.0.16
• 6.1.x, versioni precedenti alla 6.1.14
• 6.2.x, versioni precedenti alla 6.2.10
• 6.3.x, versioni precedenti alla 6.3.8
• 6.4.x, versioni precedenti alla 6.4.4
• tutte le versioni precedenti non più supportate

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.