Nouvelle vulnérabilité Zero-Day dans Spring

Récemment, des chercheurs ont découvert une vulnérabilité critique dans Spring, un framework open-source pour la plateforme Java. Cette vulnérabilité a été nommée Spring4Shell (CVE-2022-22965) en accord avec le tristement célèbre Log4j (CVE-2021-44228).

DataSunrise est au courant de la divulgation récente de ce problème de sécurité et de son exploitation à l’échelle mondiale. Nous surveillons activement cette question, même si notre produit n’a pas été affecté.

Nous confirmons par la présente que le logiciel DataSunrise n’a pas été affecté par ce problème de sécurité. DataSunrise n’utilise pas le Spring Core affecté dans le logiciel ou n’importe où ailleurs.

La vulnérabilité Spring4Shell permet aux attaquants d’exécuter du code malveillant à distance dans certaines conditions. Mais il existe d’autres moyens possibles d’exploiter cette vulnérabilité.

Tout d’abord, nous vous encourageons à vérifier tous vos environnements contenant ou pouvant contenir le framework Spring. Pour des étapes de sécurisation et de remédiation, veuillez mettre à jour Spring vers les versions sécurisées 5.3.18 ou 5.2.20 et consulter son site pour les solutions de contournement possibles.

Si vous avez besoin de tout autre détail ou d’aide, veuillez contacter notre équipe de support.