Spring4Shell (CVE-2022-22965)
O que é Spring4Shell (CVE-2022-22965)?
Spring4Shell (CVE-2022-22965)Vulnerabilidade de RCE de 2022 no Spring Framework, causada por data binding inseguro em JDK 9+, que permitia manipular propriedades do Tomcat para implantar uma webshell.
Divulgado no final de março de 2022, o Spring4Shell (CVE-2022-22965) é uma falha de execução remota de código no request mapping do Spring WebMvc/WebFlux em Java 9+, quando as aplicações são implantadas como WAR no Tomcat. Enviando parâmetros que percorrem class.module.classLoader, o atacante podia sobrescrever a configuração de logging do Tomcat para gravar um JSP malicioso no webroot, obtendo RCE sem autenticação. Foi por vezes confundida com o CVE-2022-22963 (sem relação) do Spring Cloud Function. Defesas: atualizar o Spring Framework para 5.3.18/5.2.20 ou superior (apenas atualizar o JDK não basta), bloquear os padrões documentados no WAF e evitar deploys WAR monolíticos no Tomcat.
● Exemplos
- 01
Enviar um POST com parâmetros class.module.classLoader para escrever um shell JSP numa webapp Tomcat.
- 02
Varrimento massivo de aplicações Spring Boot em WAR para plantar webshells após a divulgação.
● Perguntas frequentes
O que é Spring4Shell (CVE-2022-22965)?
Vulnerabilidade de RCE de 2022 no Spring Framework, causada por data binding inseguro em JDK 9+, que permitia manipular propriedades do Tomcat para implantar uma webshell. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa Spring4Shell (CVE-2022-22965)?
Vulnerabilidade de RCE de 2022 no Spring Framework, causada por data binding inseguro em JDK 9+, que permitia manipular propriedades do Tomcat para implantar uma webshell.
Como se defender contra Spring4Shell (CVE-2022-22965)?
As defesas contra Spring4Shell (CVE-2022-22965) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Spring4Shell (CVE-2022-22965)?
Nomes alternativos comuns: CVE-2022-22965, RCE Spring core.