- Hotline +49 351 477770
Der Hersteller hat unter folgendem Link Informationen dazu veröffentlicht: https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
CVE-2022-22965 - Spring4Shell:
Hierbei handelt es sich um eine Zero-Day Vulnerability, welche zu einer Remote Code Execution führen kann. Diese benötigt mehrere Grundlagen zur Ausführung, jedoch kann jedes System mit dem Java Development Kit Version 9 und höher betroffen sein.
https://tanzu.vmware.com/security/cve-2022-22965
CVE-2022-22963:
Bei dieser Sicherheitslücke ist die Spring Cloud Function betroffen. Bei den Versionen 3.1.6, 3.2.2 und älteren Versionen kann ein Zugriff auf die lokalen Ressourcen gewonnen werden.
https://tanzu.vmware.com/security/cve-2022-22963
CVE-2022-22950:
Im Spring Framework der Versionen 5.3.0 – 5.3.16 und älteren Versionen ist es möglich, über manuell generierte SpEL-Ausdrücke ein DOS (Denial-of-Service) durchzuführen.
https://tanzu.vmware.com/security/cve-2022-22950