cerrar
lupa
¡Empezar!
lupa
chevron
Soporte Idioma
cerrar
Su red del mañana
Su red del mañana
Planifique su camino hacia una red más rápida, más segura y más resistente diseñada para las aplicaciones y los usuarios a los que da soporte.
chevron Obtenga el whitepaper
          Descubra Netskope
          Ponte manos a la obra con la plataforma Netskope
          Esta es su oportunidad de experimentar de primera mano la Netskope One plataforma de una sola nube. Regístrese para participar en laboratorios prácticos a su propio ritmo, únase a nosotros para una demostración mensual del producto en vivo, realice una prueba de manejo gratuita de Netskope Private Accesso únase a nosotros para talleres en vivo dirigidos por instructores.
          chevron Descubra Netskope
            Líder en SSE. Ahora es líder en SASE de un solo proveedor.
            Líder en SSE. Ahora es líder en SASE de un solo proveedor.
            Netskope debuta como Líder en el Cuadrante Mágico™ de Gartner® para Single-Vendor SASE
            chevron Obtenga el informe
              Protección de la IA generativa para principiantes
              Protección de la IA generativa para principiantes
              Descubra cómo su organización puede equilibrar el potencial innovador de la IA generativa con sólidas prácticas de seguridad de Datos.
              chevron Obtenga el eBook
                Prevención de pérdida de datos (DLP) moderna para dummies eBook
                Prevención moderna de pérdida de datos (DLP) para Dummies
                Obtenga consejos y trucos para la transición a una DLP entregada en la nube.
                chevron Obtenga el eBook
                  Libro SD-WAN moderno para principiantes de SASE
                  SD-WAN moderna para maniquíes SASE
                  Deje de ponerse al día con su arquitectura de red
                  chevron Obtenga el eBook
                    Entendiendo dónde está el riesgo
                    Advanced Analytics transforma la forma en que los equipos de operaciones de seguridad aplican los conocimientos basados en datos para implementar una mejor política. Con Advanced Analytics, puede identificar tendencias, concentrarse en las áreas de preocupación y usar los datos para tomar medidas.
                    chevron Vea la demo
                            Los 6 casos de uso más convincentes para el reemplazo completo de VPN heredada
                            Los 6 casos de uso más convincentes para el reemplazo completo de VPN heredada
                            Netskope One Private Access es la única solución que le permite retirar su VPN para siempre.
                            chevron Obtenga el eBook
                              Colgate-Palmolive Salvaguarda su "Propiedad Intelectual" con Protección de Datos Inteligente y Adaptable
                              Colgate-Palmolive Salvaguarda su "Propiedad Intelectual" con Protección de Datos Inteligente y Adaptable
                              chevron Leer el caso de éxito
                                Netskope GovCloud
                                Netskope logra la alta autorización FedRAMP
                                Elija Netskope GovCloud para acelerar la transformación de su agencia.
                                chevron Más información sobre Netskope GovCloud
                                  Hagamos grandes cosas juntos
                                  La estrategia de venta centrada en el partner de Netskope permite a nuestros canales maximizar su expansión y rentabilidad y, al mismo tiempo, transformar la seguridad de su empresa.
                                  chevron Partners de Netskope
                                    Soluciones Netskope
                                    Netskope Cloud Exchange
                                    Netskope Cloud Exchange (CE) proporciona a los clientes potentes herramientas de integración para aprovechar las inversiones en su postura de seguridad.
                                    chevron Más información sobre Cloud Exchange
                                        Soporte técnico Netskope
                                        Soporte técnico Netskope
                                        Nuestros ingenieros de soporte cualificados ubicados en todo el mundo y con distintos ámbitos de conocimiento sobre seguridad en la nube, redes, virtualización, entrega de contenidos y desarrollo de software, garantizan una asistencia técnica de calidad en todo momento
                                        chevron Soporte técnico
                                          Vídeo de Netskope
                                          Netskope Training
                                          La formación de Netskope le ayudará a convertirse en un experto en seguridad en la nube. Estamos aquí para ayudarle a proteger su proceso de transformación digital y aprovechar al máximo sus aplicaciones cloud, web y privadas.
                                          chevron Explora la formación de Netskope
                                            Vídeo de Netskope
                                            Logre valor empresarial con Netskope One SSE
                                            Netskope One Security Service Edge (SSE) permite a las empresas lograr un valor de negocio considerable mediante la consolidación de los servicios de seguridad críticos para el negocio dentro de la plataforma Netskope One
                                            chevron Obtener el estudio

                                              Two RCE Vulnerabilities Found in Spring Framework

                                              Apr 06 2022
                                              By Gustavo Palazolo

                                              Summary

                                              At the end of March 2022, two critical vulnerabilities (CVE-2022-22963 and CVE-2022-22965) were discovered in different components of VMware Spring. Spring is a popular framework focused on facilitating the development of Java applications, including cloud-based apps, eliminating the need for additional code or concerns related to server requirements. 

                                              According to VMware, both vulnerabilities may be exploitable through crafted HTTP requests that can result in remote code execution (RCE), both having the same critical CVSS score of 9.8 out of 10. Given the popularity of Spring, these security issues represent a serious threat to vulnerable web applications. 

                                              These bugs have already been fixed by Spring, but exploits for both vulnerabilities can be found in the wild, which makes these bugs more critical as one could simply leverage the PoC code to exploit vulnerable systems with minimal effort.

                                              CVE-2022-22963

                                              According to the report published by VMware on March 29, 2022, this vulnerability affects Spring Cloud Function versions 3.1.6, 3.2.2, and older unsupported versions.

                                              To exploit this vulnerability, an attacker may send an HTTP request with a crafted SpEL (Spring Expression Language) string as a routing-expression, which may result in remote code execution.

                                              Screenshot showing how an attacker could exploit CVE-2022-22963

                                              To mitigate this issue, users running affected versions of Spring Cloud Function should upgrade to 3.1.7 or 3.2.3.

                                              CVE-2022-22965

                                              The second vulnerability affects Spring Framework versions 5.3.0 to 5.3.17, 5.2.0 to 5.2.19, and older unsupported versions. This bug is also being publicly called as Spring4Shell.

                                              There are a few prerequisites for the exploit:

                                              • JDK 9+
                                              • Apache Tomcat as the Servlet container
                                              • Packaged as WAR
                                              • spring-webmvc or spring-webflux dependency

                                              An attacker may exploit this vulnerability by sending a crafted HTTP request that manipulates a property in Tomcat’s pipeline allowing one to drop a web shell, hence providing further access to the machine.

                                              Screenshot showing how an attacker may exploit CVE-2022-22965

                                              A detailed analysis of this exploit was released by Microsoft. To mitigate this issue, users running affected Spring Framework versions should upgrade to 5.2.20+ or 5.3.18+.

                                              Mitigation

                                              Update / Patch

                                              We strongly recommend anyone using the affected products mentioned in this post to update to the latest version. Furthermore, Spring has also released a few workarounds for CVE-2022-22965 such as upgrading Tomcat or downgrading to Java 8, which can be followed when the update is not feasible.

                                              Netskope Private Access

                                              If you are running internal applications that cannot be immediately patched, you can mitigate the risk of exploitation by limiting access to the app. A private access solution, such as Netskope Private Access, can be used to make private apps invisible to external attackers who seek to exploit vulnerable services. Furthermore, a private access solution can restrict access to a private app internally, such that only authorized users are able to access the app, reducing the risk that a compromised user or device could be used to exploit vulnerable services.

                                              < Threat Labs
                                              Next Story >
                                              < Back
                                              Next >
                                              author image
                                              Gustavo Palazolo
                                              Gustavo Palazolo is an expert in malware analysis, reverse engineering and security research, working many years in projects related to electronic fraud protection.
                                              Gustavo Palazolo is an expert in malware analysis, reverse engineering and security research, working many years in projects related to electronic fraud protection.
                                              Read More
                                              More Articles by Gustavo Palazolo
                                              Read full Bio
                                              More articles

                                              Artículos relacionados

                                              forma de tarjeta
                                              Threat Labs

                                              To Grok or Not To Grok: Para el 29% de las empresas... No hay duda

                                              De Ray Canzanese
                                              chevron Lea el blog
                                              forma de tarjeta
                                              Threat Labs

                                              Glitch-hosted Phishing Uses Telegram & Fake CAPTCHAs to Target Navy Federal Credit Union Customers

                                              Por Jan Michael Alcántara
                                              chevron Lea el blog
                                              forma de tarjeta
                                              Threat Labs

                                              Netskope Threat Coverage: Scattered Spider

                                              De Ray Canzanese
                                              chevron Lea el blog
                                              Mostrar más

                                              ¡Mantente informado!

                                              Suscríbase para recibir lo último del blog de Netskope