Критическая 0-day уязвимость в Spring Framework, применяемом во многих Java-проектах

[[Ботя]]

В модуле Spring Core, поставляемом в составе фреймворка Spring Framework, выявлена критическая 0-day уязвимость, позволяющая неаутентифицированному удалённому атакующему выполнить свой код на сервере. Пока не ясно насколько катастрофичны могут быть последствия выявленной проблемы и будут атаки столь же массовыми, как в случае с уязвимостью в Log4j 2. Уязвимости присвоено кодовое имя Spring4Shell, но CVE-идентификатор пока не назначен. В Spring Framework проблема остаётся неисправленной и в сети уже доступно несколько рабочих прототипов эксплоитов (1, 2, 3, 4). Проблему усугубляет то, что многие корпоративные Java-приложения на базе Spring Framework выполняются с правами root и уязвимость позволяет полностью скомпрометировать систему.

Подробнее...