Två nya RCE:er har publicerats i java-ramverket Spring. Den ena sårbarheten går under namnet Spring4Shell och återfinnes i Spring Cloud Function SPEL:

• CVE-2022-22963 – Spring Expression Resource Access Vulnerability

Exempel på anrop där sårbarheten utnyttjas:

curl -i -s -k -X $’POST’ -H $’Host: 192.168.1.2:8080′ -H $’spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec(\”touch /tmp/test”)’ –data-binary $’exploit_poc’ $’http://192.168.1.2:8080/functionRouter’

Att uppgradera till Spring Cloud Function 3.1.7 eller 3.2.3 löser problemet med den ena sårbarheten. Sårbarheten har fått en CVSS score på hela 9.0 av 10, vilket är mycket allvarligt.

Den andra RCE:n återfinnes i Spring Core. Och en PoC återfinnes på Github här bl.a. (obs kör på egen risk):

• github.com/craig/SpringCore0day/blob/main/exp.py

Enligt universitetet i peking så utnyttjas minst en av dessa sårbarheter aktivt:

All versions of JDK9 and above may be affected. Currently, this vulnerability has been exploited in the wild.

Och några mer uppdateringar:

The new Spring RCE (coined Spring4Shell) is as bad as it seems! It is a ClassLoader manipulation (no unsafe deserialization or jndi as I heard). It allows attackers to plant a webshell when running Spring MVC apps on top of JRE 9. Just a POST needed. No patch available yet.

Troligtvis uppstår problemet på grund av följande (källa)

Uppdatering: Kan vara så att jag blandat ihop dessa två, att Spring4Shell är den i Spring Core.

Gällande den ena sårbarheten utan CVE så är den relativt gammal och går under CVE-2010-1622.