Los datos de Sonatype sugieren que el 80 por ciento de las descargas semanales de Spring Framework siguen siendo versiones explotables. Spring es un marco de trabajo muy popular, que a menudo se encuentra entre los tres marcos de Java más utilizados. Es por eso que la comunidad de desarrolladores de Java se vio sacudida cuando un investigador de seguridad filtró una vulnerabilidad llamada Spring4Shell (CVE-2022-22965) antes de una publicación oficial de CVE. Spring4Shell permite la ejecución remota de código sin autenticar. Esta semana, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del gobierno de EE. UU. agregó Spring4Shell a su lista de vulnerabilidades explotadas conocidas. Las versiones parcheadas de Spring ahora están disponibles, pero la mayoría de los desarrolladores aún descargan iteraciones vulnerables. Spring-framework v5.2.20 y posteriores no se ven afectados por Spring4Shell. Sonatype ha creado un tablero en vivo para realizar un seguimiento de las descargas de componentes Spring vulnerables:
Los investigadores están divididos sobre la gravedad potencial de Spring4Shell. Aunque es comparable a Log4Shell en cuanto a la popularidad de los componentes vulnerables, no se cree que Spring4Shell sea tan crítico debido a que requiere condiciones especializadas y aún no se ha observado un vector de ataque fácil de replicar. Sin embargo, eso podría cambiar y es mejor pecar de precavido. El mejor curso de acción es asegurarse de que no está utilizando ningún componente Spring4Shell vulnerable en sus proyectos Java.
Relacionados: Google quiere aumentar la colaboración del gobierno para asegurar el código abierto
¿Quiere aprender más sobre ciberseguridad de los líderes de la industria? Echa un vistazo a Cyber Security & Cloud Expo. Los próximos eventos de la serie se llevarán a cabo en Santa Clara los días 11 y 12 de mayo de 2022, Ámsterdam los días 20 y 21 de septiembre de 2022 y Londres los días 1 y 2 de diciembre de 2022. Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados por TechForge aquí. Etiquetas: ciberseguridad, exploit, framework, hacking, infosec, java, security, sonatype, spring framework, spring4shell, vulnerabilidad
Los días felices de la PDA y Blackberry han quedado definitivamente atrás, pero el factor…
Tutorial sobre cómo pronosticar usando un modelo autorregresivo en PythonFoto de Aron Visuals en UnsplashForecasting…
Si tienes un iPhone, los AirPods Pro son la opción obvia para escuchar música, ¡aunque…
Ilustración de Alex Castro / The Verge Plus nuevos rumores sobre el quinto Galaxy Fold.…
Se rumorea que los auriculares premium de próxima generación de Apple, los AirPods Max 2,…
El desarrollador Motive Studio y el editor EA han lanzado un nuevo tráiler de la…