Vulnérabilité dans Spring Cloud Function : Satnam Narang, staff research engineer de Tenable commente cette nouvelle faille baptisée Spring4Shell.
Avertissement concernant une vulnérabilité dans Spring Cloud Function
Vulnérabilité dans Spring Cloud Function
Le 29 mars, VMware a publié un avertissement concernant une vulnérabilité dans Spring Cloud Function (CVE-2022-22963), un framework permettant d’implémenter une logique métier via des fonctions. La vulnérabilité a actuellement un classement CVSSv3 de 5,4. Mais comme la vulnérabilité est considérée comme une faille d’exécution de code à distance qui peut être exploitée par un attaquant non authentifié, il semble que le score CVSSv3 ne reflète pas l’impact réel de cette faille.
Deux failles distinctes
Certains rapports confondent CVE-2022-22963 avec une autre faille d’exécution de code à distance dans Spring Core, appelée Spring4Shell ou SpringShell. Aucun CVE n’a été attribué à Spring4Shell, ce qui ajoute à la confusion.
Bien que les deux vulnérabilités soient des failles critiques d’exécution de code à distance, il s’agit de deux failles distinctes affectant des solutions différentes :
– CVE-2022-22963 existe dans Spring Cloud Function, un framework sans serveur qui fait partie de Spring Cloud, alors que
– Spring4Shell fait partie du Spring Framework, un modèle de programmation et de configuration pour les applications d’entreprise basées sur Java.
Téléchargez cette ressource
Les 10 tendances clés de l’Expérience Client (CX) pour 2025
Dans le contexte actuel, l'expérience client est un levier clé de réussite. Pour rester compétitives, les entreprises doivent adopter des stratégies CX audacieuses, en s'appuyant sur le cloud, le digital et l'IA. Alors quelles stratégies mettre en place pour garder une longueur d’avance ?
L’impact
Malgré sa convention de naming qui présente une similitude avec Log4Shell, Spring4Shell n’est pas apparenté et ne semble pas être aussi importante que Log4Shell. Spring4Shell a quelques exigences de configuration par défaut, bien que les applications qui les mettent en œuvre ne soient pas clairement définies.
Tout comme pour Log4Shell, il faudra un certain temps avant de connaître la portée et l’impact réel de Spring4Shell, mais nous pouvons affirmer qu’il ne sera pas aussi important que Log4Shell.
Pour CVE-2022-22963, des correctifs existent et sont disponibles pour des versions spécifiques de Spring Cloud Function. À l’heure actuelle, il n’existe aucun correctif pour Spring4Shell, ce qui en fait un Zero Day, bien que nous prévoyions que de plus amples détails seront révélés sous peu.
Pour plus d’informations, ce blogpost comporte une FAQ concernant Spring4Shell.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- L’Intelligence Artificielle, le nouveau copilote du CRM : une révolution incontournable
- Optimiser la gestion de la relation client dans le secteur des sciences de la vie
- 2025, un « âge de raison » pour l’écosystème de la technologie ?
- 59 % des entreprises françaises victimes de ransomwares ont stoppé leurs opérations !
- KeeeX accélère son développement en Europe en 2025 !
