Kriittinen haavoittuvuus Spring-sovelluskehyksessä

31.03.2022

Spring on Java-ohjelmointikielellä toteutettu sovelluskehys, jota käytetään yleisesti verkkosivustojen ja sivustopohjaisten palveluiden luomiseen.

Haavoittuvuus liittyy Spring-kirjaston suosittuun DataBinder-toiminnallisuuteen, jossa käyttäjän antamat parametrit muokataan automaattisesti Java-olioksi helppoa jatkokäyttöä varten. Muokkauksen toteutuksessa on yritetty estää riskialttiita operaatioita estolistan avulla. Estolistaa ei kuitenkaan oltu päivitetty Javan version 9 tuomien uusien ominaisuuksien osalta. Tämän vuoksi tuoreilla Java-versioilla toteutetut Spring-sovellukset voivat olla haavoittuvia.

Haavoittuvuudelle ei ole vielä annettu CVE-numeroa. Spring-kirjastosta Spring Cloud Function on lisäksi äskettäin löydetty haavoittuvuus CVE-2022-22963. Julkisessa keskustelussa nämä kaksi haavoittuvuutta on usein sekoitettu keskenään.

Lähde: TRAFICOM Liikenne- ja viestintävirasto | Kyberturvallisuuskeskus