Vulnerabilidade crítica em aplicativos Java apelidada de SpringShell ainda não tem nenhum patch disponível.

 Alerta sobre uma nova vulnerabilidade crítica de execução remota de código (RCE, na sigla em inglês) em uma estrutura de desenvolvedor Java popular. Os especialistas acham exagerado, porém, os relatos que circularam na internet apontando o bug como o próximo Log4Shell.

Apelidada de “SpringShell” por alguns na comunidade de segurança, a vulnerabilidade afeta o spring-core, uma estrutura amplamente usada em aplicativos Java, especificamente com o JDK9 ou execução mais recente. “A vulnerabilidade afeta qualquer pessoa que use o spring-core, uma parte central do Spring Framework, para realizar o registro, e qualquer um que use software construído no aplicativo Spring, que compõe uma grande base de software Java corporativo”, diz a Sonatype.

Segundo a fornecedora de software de gerenciamento de políticas e remediação de vulnerabilidades, o bug decorre de um problema explorado anteriormente (CVE-2010-1622) no Spring que foi corrigido no passado, mas tornou-se vulnerável novamente quando usado com o JDK9.

No entanto, alguns especialistas jogaram água fria nos relatos que apontam que esse bug pode ser tão perigoso quanto o encontrado no utilitário Log4j. “Mais detalhes são necessários, mas as informações atuais sugerem que, para explorar a vulnerabilidade, os invasores terão que localizar e identificar instâncias de aplicativos da web que realmente usam o DeserializationUtils, algo já conhecido pelos desenvolvedores como perigoso. Se comprovado, o impacto do SpringShell tem o potencial de ser mal interpretado como sendo mais impactante ou generalizado do que pode ser”, disse a Flashpoint à Infosecurity. “Embora alguns possam comparar o SpringShell ao Log4Shell, não é semelhante em um nível mais profundo”, sustenta a empresa.

Leia mais sobre a matéria no link abaixo:

https://lnkd.in/dEfAzS-T