CB-K22/0377 Update 13
Risikostufe 4
Titel:VMware Tanzu Spring Framework: Schwachstelle ermöglicht Ausführen von beliebigem ProgrammcodeDatum:12.05.2022Software:VMware Tanzu Spring Framework < 5.2.20, VMware Tanzu Spring Framework < 5.3.18, Shibboleth Identity Provider < 4.1.6, VMware Tanzu Spring Boot < 2.5.12, VMware Tanzu Spring Boot < 2.6.6, Apache Tomcat < 10.0.20, Apache Tomcat < 8.5.78, Apache Tomcat < 9.0.62, HCL Domino, HCL Notes, SolarWinds Security Event Manager, Red Hat Enterprise Linux, Cisco Meeting Server, Lenovo XClarity Energy Manager, Atlassian Jira SoftwarePlattform:CISCO Appliance, Linux, Sonstiges, UNIX, WindowsAuswirkung:Ausführen beliebigen Programmcodes mit den Rechten des DienstesRemoteangriff:JaRisiko:hochCVE Liste:CVE-2022-22965Bezug:
Beschreibung
Das Spring Framework bietet ein Entwicklungsmodell für Java mit Infrastrukturunterstützung auf Anwendungsebene.
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in VMware Tanzu Spring Framework ausnutzen, um beliebigen Programmcode mit den Rechten des Dienstes auszuführen.
Quellen:
- Rapid7 Blog Post vom 2022-03-30
- Sonatype Blog
- Artikel von Praetorian
- Spring Cloud Advisory vom 2022-03-30
- Spring Boot 2.6.6 available now vom 2022-03-31
- Spring Boot 2.5.12 available now vom 2022-03-31
- Spring Framework RCE vom 2022-03-31
- Cisco Security Advisory CISCO-SA-JAVA-SPRING-RCE-ZX9GUC67 vom 2022-04-02
- SonicWall Security Advisory SNWLID-2022-0005 vom 2022-04-02
- VMware Security Advisory VMSA-2022-0010 vom 2022-04-02
- Apache Tomcat Release Notes
- Unify Security Advisory Report OBSO-2204-01 vom 2022-04-04
- HCL Article KB0097763 vom 2022-04-06
- Solarwinds Documentation for Security Event Manager
- Red Hat Security Advisory RHSA-2022:1306 vom 2022-04-11
- Cisco Security Advisory CISCO-SA-JAVA-SPRING-RCE-ZX9GUC67 vom 2022-04-12
- Red Hat Security Advisory RHSA-2022:1333 vom 2022-04-13
- IBM Security Bulletin 6571299 vom 2022-04-13
- Lenovo Security Advisory LEN-87699 vom 2022-04-13
- Red Hat Security Advisory RHSA-2022:1360 vom 2022-04-13
- Red Hat Security Advisory RHSA-2022:1379 vom 2022-04-15
- Red Hat Security Advisory RHSA-2022:1378 vom 2022-04-15
- Red Hat Security Advisory RHSA-2022:1626 vom 2022-04-27
- Red Hat Security Advisory RHSA-2022:1627 vom 2022-04-27
- IBM Security Bulletin 6575577 vom 2022-04-28
- Atlassian Security Advisory JSWSERVER-21350 vom 2022-05-11