VMware ha publicado 2 nuevos avisos de seguridad, ambos son de Severidad Media y afectan a Spring Framework

 In Blog

El equipo de Ciberseguridad de Netglobalis informa que VMware ha publicado 2 nuevos avisos de seguridad, ambos son de Severidad Media y afectan a Spring Framework.

Un atacante podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.

Por tanto, se recomienda a los usuarios y administradores revisar las siguientes afectaciones y aplicar las actualizaciones necesarias:

SEVERIDAD MEDIA

CVE-2022-22970 Spring Framework DoS via Data Binding to MultipartFile or Servlet Part

La vulnerabilidad existe debido a una validación insuficiente de la entrada proporcionada por el usuario dentro de las aplicaciones Spring MVC o Spring WebFlux que maneja la carga de archivos, la cual es vulnerable a un ataque DoS si se basa en el enlace de datos para establecer un MultipartFile o javax.servlet.Part en un campo.

Productos afectados:

· Spring Framework; 5.3.0 a 5.3.19, 5.2.0 a 5.2.21 y anteriores

Es necesario actualizar según la version:

· Los usuarios con versión 5.3.x deben actualizar a 5.3.20

· Los usuarios con versión 5.2.x deben actualizar a 5.2.22

CVE-2022-22971 Spring Framework DoS with STOMP over WebSocket

La vulnerabilidad existe debido a una validación insuficiente de la entrada proporcionada por el usuario dentro de la aplicación Spring con un punto final STOMP sobre WebSocket. Un atacante podría cargar una entrada diseñada maliciosamente y causar un ataque de denegación de servicio (DoS).

Productos afectados:

· Spring Framework; 5.3.0 a 5.3.19, 5.2.0 a 5.2.21 y anteriores

Es necesario actualizar segun la version:

· Los usuarios con versión 5.3.x deben actualizar a 5.3.20

· Los usuarios con versión 5.2.x deben actualizar a 5.2.22

Mitigación

NOTA: Aún no está disponible una puntuación según CVSS v3.1, ya que actualmente esta vulnerabilidad sigue en análisis. A pesar de esto, la vulnerabilidad se considera como crítica debido a la facilidad de explotación.

Fuente

https://tanzu.vmware.com/security/cve-2022-22970

https://tanzu.vmware.com/security/cve-2022-22971

https://www.cybersecurity-help.cz/vdb/SB2022051201

Recommended Posts