Aggiornamenti di sicurezza VMware risolvono una vulnerabilità in Spring, noto framework open source per lo sviluppo di applicazioni Java. Tale vulnerabilità, qualora sfruttata, potrebbe permettere l’accesso ad informazioni sensibili presenti sui sistemi target.

Note (aggiornamento del 20/12/2024): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete.

Impatto sistemico

Medio (63.46)

Tipologia

• Arbitrary File Write/Read
• Information Disclosure

Prodotti e versioni affette

Spring Framework

• 5.3.x, versioni precedenti alla 5.3.40
• 6.0.x, versioni precedenti alla 6.0.24
• 6.1.x, versioni precedenti alla 6.1.13
• Tutte le versioni precedenti non più supportate

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

CVE

CVE-2024-38819

Rifermenti

https://spring.io/security/cve-2024-38819