Інформація про критичні вразливості в системі безпеки

Spring4Shell – Spring Core RCE та Spring Cloud Function RCE


Лангенгаген, Німеччина, 6 квітня 2022 


Компанії Konica Minolta стало відомо про дві критичні вразливості з найвищим рейтингом ризику, що зачіпають певні застосунки та сервіси.  

Йдеться про вразливості віддаленого виконання коду Spring4Shell — Spring Core RCE (CVE-2022–22965) та Spring Cloud Function RCE (CVE-2022–22963)

CVE-2022–22965 (Spring4Shell) виявлена ​​в Spring Core Framework і була помічена та підтверджена наприкінці березня 2022 року. Spring Framework — це платформа застосунків із відкритим вихідним кодом, що використовується для розробки програмного забезпечення на базі Java, основна мета якої — допомогти розробникам швидше створювати ПЗ. У разі її застосування ця вразливість може призвести до атак із віддаленим виконанням коду (RCE), але, зважаючи на все, у цей час вона перебуває загалом на стадії доведення концепції для конкретних реалізацій Spring Framework. 

CVE-2022-22963 (Spring Cloud Function RCE) також була помічена та підтверджена наприкінці березня 2022 року й зачіпає Spring Cloud Function версії 3.1.6, 3.2.2 та старіших непідтримуваних версій. З використанням функції маршрутизації користувач може надати спеціально створений SpEL як вираз маршрутизації, що може призвести до віддаленого виконання коду й доступу до локальних ресурсів

Оскільки обидві вразливості знаходяться на ранній стадії, у нас поки що немає списку уражених застосунків/рішень від Konica Minolta. Нині ми оцінюємо, яких версій доступного ПЗ це стосується, і якщо це сталося, як усунути вразливість. 

Для Konica Minolta безпека наших пристроїв, застосунків та сервісів є предметом найвищої турботи. Ми працюємо над розв’язання цієї проблеми з максимальною пріоритетністю та швидкістю й надаватимемо оновлення щодо ситуації.