Nuevas vulnerabilidades en Spring: cómo saber si estás en peligro y qué hacer al respecto
Recientemente, Spring, una de las bibliotecas más populares de la comunidad Java, ha revelado dos vulnerabilidades relacionadas con la ejecución remota de código (RCE). Para ayudarle a comprender más fácilmente si está expuesto a estas vulnerabilidades y qué medidas debe tomar, hemos desglosado la información conocida sobre «Spring4Shell» y «Spring Cloud Function».
Vulnerabilidad 1: «Spring4Shell» (CVE-2022-22965)
El 29 de marzo de 2022, la comunidad descubrió una serie de tuits que incluían capturas de pantalla de una prueba de concepto de una vulnerabilidad en Spring Core (SC) que permitía la ejecución remota de código en todas las versiones de Spring Core, incluida la versión 5.3.17, recientemente publicada.
¿Qué aplicaciones están en riesgo?
Por el momento, solo se ha confirmado que las aplicaciones alojadas en Tomcat están expuestas a esta nueva vulnerabilidad. Aunque aún no se ha demostrado que los ataques contra el contenedor Tomcat Servlet integrado o cualquier otra aplicación no alojada en Tomcat hayan tenido éxito, esto no descarta la posibilidad de que estos marcos se utilicen con éxito en el futuro.
En primavera se publicó un comunicado oficial sobre esta vulnerabilidad. Según el conocimiento actual sobre la misma, se ha aclarado que para que se produzca un ataque deben cumplirse las siguientes condiciones:
- JDK 9 o superior
- Apache Tomcat como contenedor de servlets
- Empaquetado en WAR tradicional (a diferencia del archivo jar ejecutable de Spring Boot).
- Dependencias de Spring-webmvc o Spring-webflux
- Spring Framework versiones 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 y versiones anteriores.
¿Cómo funciona la vulnerabilidad «Spring4Shell»?
La vulnerabilidad depende del uso de «enlace de datos» (org.springframework.web.bind.Web.bind.WebDataBinder) en solicitudes que utilizan objetos Java comunes (POJO) en la firma del método:
La clase Foo es una clase POJO y se puede definir de la siguiente manera. Tenga en cuenta que la clase real no es importante, siempre y cuando sea cargada por el cargador de clases.
Cuando la solicitud se procesa mediante este método, el cargador de clases se utiliza para resolver la clase. El cargador de clases se encarga de cargar las clases en tiempo de ejecución, sin necesidad de precargar todos los tipos posibles en la memoria. Calcula qué archivo .jar debe cargarse cuando se utiliza una nueva clase.
Puede encontrar información actualizada y detallada sobre esta vulnerabilidad directamente en Spring, en una entradade blogque incluye posibles soluciones o alternativas.
Vulnerabilidad 2: Función Spring Cloud (CVE-2022-22963)
El 27 de marzo de 2022, Cyber Kendra reveló detalles sobre una vulnerabilidad de ejecución remota de código (RCE) de día cero en Spring Cloud Functions, para la que aún no existe ningún parche. A la vulnerabilidad se le ha asignado el ID CVE-2022-22963: Vulnerabilidad de acceso a recursos de expresiones Spring.
¿Qué aplicaciones están en riesgo?
该漏洞影响了以下条件下的应用程序:
- JDK 9 o superior
- Spring Cloud Functions versión 3.1.6 (o inferior), 3.2.2 (o inferior) o cualquier versión no compatible.
¿Cómo funciona la explotación?
Spring Cloud Function permite a los desarrolladores configurar cómo se procesa el enrutamiento mediante la propiedad spring.cloud.function.routing-expression, lo que normalmente se realiza mediante la configuración o el código. Se trata de una forma de aprovechar el potente lenguaje «Spring Expression Language» (SpEL). A través de esta vulnerabilidad de 0 días, hemos descubierto que esta propiedad se puede configurar mediante el encabezado HTTP de la solicitud, lo que significa que un atacante puede incrustar código SpEL directamente en la solicitud HTTP de su punto final RoutingFunction y, de este modo, ejecutar código arbitrario.
¿Qué medidas deben tomar los usuarios para reducir el riesgo?
En primavera se publicaron las versiones 3.1.7 y 3.2.3, que solucionan este problema al no permitir la configuración de esta propiedad a través de la cabecera HTTP, lo que mitiga la vulnerabilidad. Tras actualizar a cualquiera de estas versiones, no es necesario realizar ningún otro paso.
¿Le interesa saber más sobre cómo ayudamos a los desarrolladores a escribir código más seguro?Reserve una demostración o consulte nuestra guía gratuita de programación segura, Security Code Coach.
Fuente de datos
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Recientemente, Spring, una de las bibliotecas más populares de la comunidad Java, ha revelado dos vulnerabilidades relacionadas con la ejecución remota de código (RCE). Hemos desglosado los detalles conocidos de «Spring4Shell» y «Spring Cloud Function» para ayudarle a comprender si se encuentra en peligro y qué hacer en caso de que exista riesgo.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Recientemente, Spring, una de las bibliotecas más populares de la comunidad Java, ha revelado dos vulnerabilidades relacionadas con la ejecución remota de código (RCE). Para ayudarle a comprender más fácilmente si está expuesto a estas vulnerabilidades y qué medidas debe tomar, hemos desglosado la información conocida sobre «Spring4Shell» y «Spring Cloud Function».
Vulnerabilidad 1: «Spring4Shell» (CVE-2022-22965)
El 29 de marzo de 2022, la comunidad descubrió una serie de tuits que incluían capturas de pantalla de una prueba de concepto de una vulnerabilidad en Spring Core (SC) que permitía la ejecución remota de código en todas las versiones de Spring Core, incluida la versión 5.3.17, recientemente publicada.
¿Qué aplicaciones están en riesgo?
Por el momento, solo se ha confirmado que las aplicaciones alojadas en Tomcat están expuestas a esta nueva vulnerabilidad. Aunque aún no se ha demostrado que los ataques contra el contenedor Tomcat Servlet integrado o cualquier otra aplicación no alojada en Tomcat hayan tenido éxito, esto no descarta la posibilidad de que estos marcos se utilicen con éxito en el futuro.
En primavera se publicó un comunicado oficial sobre esta vulnerabilidad. Según el conocimiento actual sobre la misma, se ha aclarado que para que se produzca un ataque deben cumplirse las siguientes condiciones:
- JDK 9 o superior
- Apache Tomcat como contenedor de servlets
- Empaquetado en WAR tradicional (a diferencia del archivo jar ejecutable de Spring Boot).
- Dependencias de Spring-webmvc o Spring-webflux
- Spring Framework versiones 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 y versiones anteriores.
¿Cómo funciona la vulnerabilidad «Spring4Shell»?
La vulnerabilidad depende del uso de «enlace de datos» (org.springframework.web.bind.Web.bind.WebDataBinder) en solicitudes que utilizan objetos Java comunes (POJO) en la firma del método:
La clase Foo es una clase POJO y se puede definir de la siguiente manera. Tenga en cuenta que la clase real no es importante, siempre y cuando sea cargada por el cargador de clases.
Cuando la solicitud se procesa mediante este método, el cargador de clases se utiliza para resolver la clase. El cargador de clases se encarga de cargar las clases en tiempo de ejecución, sin necesidad de precargar todos los tipos posibles en la memoria. Calcula qué archivo .jar debe cargarse cuando se utiliza una nueva clase.
Puede encontrar información actualizada y detallada sobre esta vulnerabilidad directamente en Spring, en una entradade blogque incluye posibles soluciones o alternativas.
Vulnerabilidad 2: Función Spring Cloud (CVE-2022-22963)
El 27 de marzo de 2022, Cyber Kendra reveló detalles sobre una vulnerabilidad de ejecución remota de código (RCE) de día cero en Spring Cloud Functions, para la que aún no existe ningún parche. A la vulnerabilidad se le ha asignado el ID CVE-2022-22963: Vulnerabilidad de acceso a recursos de expresiones Spring.
¿Qué aplicaciones están en riesgo?
该漏洞影响了以下条件下的应用程序:
- JDK 9 o superior
- Spring Cloud Functions versión 3.1.6 (o inferior), 3.2.2 (o inferior) o cualquier versión no compatible.
¿Cómo funciona la explotación?
Spring Cloud Function permite a los desarrolladores configurar cómo se procesa el enrutamiento mediante la propiedad spring.cloud.function.routing-expression, lo que normalmente se realiza mediante la configuración o el código. Se trata de una forma de aprovechar el potente lenguaje «Spring Expression Language» (SpEL). A través de esta vulnerabilidad de 0 días, hemos descubierto que esta propiedad se puede configurar mediante el encabezado HTTP de la solicitud, lo que significa que un atacante puede incrustar código SpEL directamente en la solicitud HTTP de su punto final RoutingFunction y, de este modo, ejecutar código arbitrario.
¿Qué medidas deben tomar los usuarios para reducir el riesgo?
En primavera se publicaron las versiones 3.1.7 y 3.2.3, que solucionan este problema al no permitir la configuración de esta propiedad a través de la cabecera HTTP, lo que mitiga la vulnerabilidad. Tras actualizar a cualquiera de estas versiones, no es necesario realizar ningún otro paso.
¿Le interesa saber más sobre cómo ayudamos a los desarrolladores a escribir código más seguro?Reserve una demostración o consulte nuestra guía gratuita de programación segura, Security Code Coach.
Fuente de datos
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Recientemente, Spring, una de las bibliotecas más populares de la comunidad Java, ha revelado dos vulnerabilidades relacionadas con la ejecución remota de código (RCE). Para ayudarle a comprender más fácilmente si está expuesto a estas vulnerabilidades y qué medidas debe tomar, hemos desglosado la información conocida sobre «Spring4Shell» y «Spring Cloud Function».
Vulnerabilidad 1: «Spring4Shell» (CVE-2022-22965)
El 29 de marzo de 2022, la comunidad descubrió una serie de tuits que incluían capturas de pantalla de una prueba de concepto de una vulnerabilidad en Spring Core (SC) que permitía la ejecución remota de código en todas las versiones de Spring Core, incluida la versión 5.3.17, recientemente publicada.
¿Qué aplicaciones están en riesgo?
Por el momento, solo se ha confirmado que las aplicaciones alojadas en Tomcat están expuestas a esta nueva vulnerabilidad. Aunque aún no se ha demostrado que los ataques contra el contenedor Tomcat Servlet integrado o cualquier otra aplicación no alojada en Tomcat hayan tenido éxito, esto no descarta la posibilidad de que estos marcos se utilicen con éxito en el futuro.
En primavera se publicó un comunicado oficial sobre esta vulnerabilidad. Según el conocimiento actual sobre la misma, se ha aclarado que para que se produzca un ataque deben cumplirse las siguientes condiciones:
- JDK 9 o superior
- Apache Tomcat como contenedor de servlets
- Empaquetado en WAR tradicional (a diferencia del archivo jar ejecutable de Spring Boot).
- Dependencias de Spring-webmvc o Spring-webflux
- Spring Framework versiones 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 y versiones anteriores.
¿Cómo funciona la vulnerabilidad «Spring4Shell»?
La vulnerabilidad depende del uso de «enlace de datos» (org.springframework.web.bind.Web.bind.WebDataBinder) en solicitudes que utilizan objetos Java comunes (POJO) en la firma del método:
La clase Foo es una clase POJO y se puede definir de la siguiente manera. Tenga en cuenta que la clase real no es importante, siempre y cuando sea cargada por el cargador de clases.
Cuando la solicitud se procesa mediante este método, el cargador de clases se utiliza para resolver la clase. El cargador de clases se encarga de cargar las clases en tiempo de ejecución, sin necesidad de precargar todos los tipos posibles en la memoria. Calcula qué archivo .jar debe cargarse cuando se utiliza una nueva clase.
Puede encontrar información actualizada y detallada sobre esta vulnerabilidad directamente en Spring, en una entradade blogque incluye posibles soluciones o alternativas.
Vulnerabilidad 2: Función Spring Cloud (CVE-2022-22963)
El 27 de marzo de 2022, Cyber Kendra reveló detalles sobre una vulnerabilidad de ejecución remota de código (RCE) de día cero en Spring Cloud Functions, para la que aún no existe ningún parche. A la vulnerabilidad se le ha asignado el ID CVE-2022-22963: Vulnerabilidad de acceso a recursos de expresiones Spring.
¿Qué aplicaciones están en riesgo?
该漏洞影响了以下条件下的应用程序:
- JDK 9 o superior
- Spring Cloud Functions versión 3.1.6 (o inferior), 3.2.2 (o inferior) o cualquier versión no compatible.
¿Cómo funciona la explotación?
Spring Cloud Function permite a los desarrolladores configurar cómo se procesa el enrutamiento mediante la propiedad spring.cloud.function.routing-expression, lo que normalmente se realiza mediante la configuración o el código. Se trata de una forma de aprovechar el potente lenguaje «Spring Expression Language» (SpEL). A través de esta vulnerabilidad de 0 días, hemos descubierto que esta propiedad se puede configurar mediante el encabezado HTTP de la solicitud, lo que significa que un atacante puede incrustar código SpEL directamente en la solicitud HTTP de su punto final RoutingFunction y, de este modo, ejecutar código arbitrario.
¿Qué medidas deben tomar los usuarios para reducir el riesgo?
En primavera se publicaron las versiones 3.1.7 y 3.2.3, que solucionan este problema al no permitir la configuración de esta propiedad a través de la cabecera HTTP, lo que mitiga la vulnerabilidad. Tras actualizar a cualquiera de estas versiones, no es necesario realizar ningún otro paso.
¿Le interesa saber más sobre cómo ayudamos a los desarrolladores a escribir código más seguro?Reserve una demostración o consulte nuestra guía gratuita de programación segura, Security Code Coach.
Fuente de datos
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Recientemente, Spring, una de las bibliotecas más populares de la comunidad Java, ha revelado dos vulnerabilidades relacionadas con la ejecución remota de código (RCE). Para ayudarle a comprender más fácilmente si está expuesto a estas vulnerabilidades y qué medidas debe tomar, hemos desglosado la información conocida sobre «Spring4Shell» y «Spring Cloud Function».
Vulnerabilidad 1: «Spring4Shell» (CVE-2022-22965)
El 29 de marzo de 2022, la comunidad descubrió una serie de tuits que incluían capturas de pantalla de una prueba de concepto de una vulnerabilidad en Spring Core (SC) que permitía la ejecución remota de código en todas las versiones de Spring Core, incluida la versión 5.3.17, recientemente publicada.
¿Qué aplicaciones están en riesgo?
Por el momento, solo se ha confirmado que las aplicaciones alojadas en Tomcat están expuestas a esta nueva vulnerabilidad. Aunque aún no se ha demostrado que los ataques contra el contenedor Tomcat Servlet integrado o cualquier otra aplicación no alojada en Tomcat hayan tenido éxito, esto no descarta la posibilidad de que estos marcos se utilicen con éxito en el futuro.
En primavera se publicó un comunicado oficial sobre esta vulnerabilidad. Según el conocimiento actual sobre la misma, se ha aclarado que para que se produzca un ataque deben cumplirse las siguientes condiciones:
- JDK 9 o superior
- Apache Tomcat como contenedor de servlets
- Empaquetado en WAR tradicional (a diferencia del archivo jar ejecutable de Spring Boot).
- Dependencias de Spring-webmvc o Spring-webflux
- Spring Framework versiones 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 y versiones anteriores.
¿Cómo funciona la vulnerabilidad «Spring4Shell»?
La vulnerabilidad depende del uso de «enlace de datos» (org.springframework.web.bind.Web.bind.WebDataBinder) en solicitudes que utilizan objetos Java comunes (POJO) en la firma del método:
La clase Foo es una clase POJO y se puede definir de la siguiente manera. Tenga en cuenta que la clase real no es importante, siempre y cuando sea cargada por el cargador de clases.
Cuando la solicitud se procesa mediante este método, el cargador de clases se utiliza para resolver la clase. El cargador de clases se encarga de cargar las clases en tiempo de ejecución, sin necesidad de precargar todos los tipos posibles en la memoria. Calcula qué archivo .jar debe cargarse cuando se utiliza una nueva clase.
Puede encontrar información actualizada y detallada sobre esta vulnerabilidad directamente en Spring, en una entradade blogque incluye posibles soluciones o alternativas.
Vulnerabilidad 2: Función Spring Cloud (CVE-2022-22963)
El 27 de marzo de 2022, Cyber Kendra reveló detalles sobre una vulnerabilidad de ejecución remota de código (RCE) de día cero en Spring Cloud Functions, para la que aún no existe ningún parche. A la vulnerabilidad se le ha asignado el ID CVE-2022-22963: Vulnerabilidad de acceso a recursos de expresiones Spring.
¿Qué aplicaciones están en riesgo?
该漏洞影响了以下条件下的应用程序:
- JDK 9 o superior
- Spring Cloud Functions versión 3.1.6 (o inferior), 3.2.2 (o inferior) o cualquier versión no compatible.
¿Cómo funciona la explotación?
Spring Cloud Function permite a los desarrolladores configurar cómo se procesa el enrutamiento mediante la propiedad spring.cloud.function.routing-expression, lo que normalmente se realiza mediante la configuración o el código. Se trata de una forma de aprovechar el potente lenguaje «Spring Expression Language» (SpEL). A través de esta vulnerabilidad de 0 días, hemos descubierto que esta propiedad se puede configurar mediante el encabezado HTTP de la solicitud, lo que significa que un atacante puede incrustar código SpEL directamente en la solicitud HTTP de su punto final RoutingFunction y, de este modo, ejecutar código arbitrario.
¿Qué medidas deben tomar los usuarios para reducir el riesgo?
En primavera se publicaron las versiones 3.1.7 y 3.2.3, que solucionan este problema al no permitir la configuración de esta propiedad a través de la cabecera HTTP, lo que mitiga la vulnerabilidad. Tras actualizar a cualquiera de estas versiones, no es necesario realizar ningún otro paso.
¿Le interesa saber más sobre cómo ayudamos a los desarrolladores a escribir código más seguro?Reserve una demostración o consulte nuestra guía gratuita de programación segura, Security Code Coach.
Fuente de datos
- https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
- https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/
Índice
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
