Categories: NoticiasProgramación

El 80% de las descargas de Spring Framework son versiones explotables

Los datos de Sonatype sugieren que el 80 por ciento de las descargas semanales de Spring Framework siguen siendo versiones explotables. Spring es un marco de trabajo muy popular, que a menudo se encuentra entre los tres marcos de Java más utilizados. Es por eso que la comunidad de desarrolladores de Java se vio sacudida cuando un investigador de seguridad filtró una vulnerabilidad llamada Spring4Shell (CVE-2022-22965) antes de una publicación oficial de CVE. Spring4Shell permite la ejecución remota de código sin autenticar. Esta semana, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del gobierno de EE. UU. agregó Spring4Shell a su lista de vulnerabilidades explotadas conocidas. Las versiones parcheadas de Spring ahora están disponibles, pero la mayoría de los desarrolladores aún descargan iteraciones vulnerables. Spring-framework v5.2.20 y posteriores no se ven afectados por Spring4Shell. Sonatype ha creado un tablero en vivo para realizar un seguimiento de las descargas de componentes Spring vulnerables:

Los investigadores están divididos sobre la gravedad potencial de Spring4Shell. Aunque es comparable a Log4Shell en cuanto a la popularidad de los componentes vulnerables, no se cree que Spring4Shell sea tan crítico debido a que requiere condiciones especializadas y aún no se ha observado un vector de ataque fácil de replicar. Sin embargo, eso podría cambiar y es mejor pecar de precavido. El mejor curso de acción es asegurarse de que no está utilizando ningún componente Spring4Shell vulnerable en sus proyectos Java.

Relacionados: Google quiere aumentar la colaboración del gobierno para asegurar el código abierto

¿Quiere aprender más sobre ciberseguridad de los líderes de la industria? Echa un vistazo a Cyber ​​Security & Cloud Expo. Los próximos eventos de la serie se llevarán a cabo en Santa Clara los días 11 y 12 de mayo de 2022, Ámsterdam los días 20 y 21 de septiembre de 2022 y Londres los días 1 y 2 de diciembre de 2022. Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados ​​por TechForge aquí. Etiquetas: ciberseguridad, exploit, framework, hacking, infosec, java, security, sonatype, spring framework, spring4shell, vulnerabilidad

Erica Flores

Enamorada de la tecnología. Apasionada de la velocidad que la información puede adquirir en este mundo cambiante. Actualmente residiendo en Barcelona.

Recent Posts

Máquina de mano Lean, Green, Raspberry Pi

Los días felices de la PDA y Blackberry han quedado definitivamente atrás, pero el factor…

2 years ago

Cómo pronosticar series de tiempo usando autorregresión

Tutorial sobre cómo pronosticar usando un modelo autorregresivo en PythonFoto de Aron Visuals en UnsplashForecasting…

2 years ago

Aquí están todas las formas en que puede cargar su AirPods Pro

Si tienes un iPhone, los AirPods Pro son la opción obvia para escuchar música, ¡aunque…

2 years ago

Las principales noticias tecnológicas del lunes: la prohibición de clientes de terceros de Twitter parece no ser un accidente

Ilustración de Alex Castro / The Verge Plus nuevos rumores sobre el quinto Galaxy Fold.…

2 years ago

AirPods Max 2: aquí están las características más solicitadas

Se rumorea que los auriculares premium de próxima generación de Apple, los AirPods Max 2,…

2 years ago

El remake de Dead Space continúa luciendo terriblemente genial en el nuevo tráiler de la historia

El desarrollador Motive Studio y el editor EA han lanzado un nuevo tráiler de la…

2 years ago