Spring4Shell

Sinds gisteren, 31 maart 2022, waarschuwt het NCSC voor een kwetsbaarheid in het Spring Core Framework. Deze kwetsbaarheid is aangeduid met de code CVE-2022-22965 en heeft als naam Spring4Shell. Deze kwetsbaarheid maakt het mogelijk om op afstand, ongeauthentiseerd willekeurige code uit te voeren. De bijbehorende CVSS score van deze kwetsbaarheid is 9.8. Dit maakt de kwetsbaarheid zeer kritiek en valt in de categorie Log4Shell van afgelopen december qua impact.

Om de kwetsbaarheid te kunnen uitbuiten moeten er wel aan een aantal voorwaarden zijn voldaan:

• de dienst moet gebruik maken van JDK versie 9 en hoger.
• de dienst moet gebaseerd zijn op Tomcat.
• het servlet, die wordt uitgevoerd door Tomcat service, moet niet als jar maar als war file worden uitgevoerd.
• de dienst moet gebruiken maken van Spring Framework versies 5.3.0 tot 5.3.17, 5.2.0 tot 5.2.19 en oudere versies.
• de dienst moet gebruik maken van jar bestanden wiens naam begint met spring-beans-.



MCX is op dit moment in onderzoek welke klanten getroffen zijn. Als een klant getroffen is dan wordt deze via de reguliere communicatiekanalen op de hoogte gesteld. Mocht u vragen hebben dan kunt u contact opnemen met MCX (055 5260670) en vragen naar de Security Officer.