Centro Nacional de Respuesta a Incidentes de Seguridad Informática

Existen pruebas de concepto publicadas en Internet y las vulnerabilidades están siendo activamente explotadas. 

Detalles técnicos 

CVE-2022-22963 

Vulnerabilidad de severidad crítica que permite a quien ataca realizar ejecución remota de código sin necesidad de autenticación. 

Quien ataca podría diseñar un SpEL (Spring Expression Language) como un enrutamiento, añadirlo como un header en el request, lo que desencadenaría en una ejecución de código arbitrario y así obtener acceso a recursos locales. 

Existen pruebas de concepto que están siendo activamente utilizadas para explotar esta vulnerabilidad. 

CVE-2022-22965 

Vulnerabilidad de severidad crítica que, dándose ciertas condiciones, podría desencadenar en una ejecución remota de código. 

El exploit publicado requiere que la aplicación se ejecute en Tomcat como un .war. No se descarta que puedan existir otras formas de explotar la vulnerabilidad. 

Recomendaciones 

El desarrollador de ambas aplicaciones liberó versiones que corrigen ambas vulnerabilidades y recomienda actualizar a la brevedad.

Para CVE-2022-22963, actualizar a la versión de Spring Cloud Function: 

• 3.1.7 

• 3.2.2 

Para CVE-2022-22965, actualizar a la versión de Spring Framework: 

• 5.2.20 

• 5.3.18 

Para CVE-2022-22965 existe una mitigación provista por el desarrollador en el caso de no poder actualizarla inmediatamente.

• Instrucciones para la actualización

Referencias 

• Enlace al sitio Spring.io CVE-2022-22963 
• Enlace al sitio Tanzu-VMware CVE-2022-22963 
• Enlace al sitio Spring.io CVE-2022-22965 
• Enlace al sitio Tanzu-VMware CVE-2022-22965