Peringatan Keamanan Kerentanan Remote Code Execution pada Spring Framework (CVE-2022-22965)

Pada Akhir Maret 2022, Spring4Shell – sebuah kerentanan pada Spring Framework – yang merupakan open-source framework untuk pengembangan aplikasi berbasis Java terungkap. Kerentanan Remote Code Execution melalui data binding tersebut kemudian ditandai sebagai CVE-2022-22965. Hasil analisis menunjukkan nilai kerentanan CVSS 3.0 tersebut sebesar 9.8 yang dikategorikan CRITICAL.

Produk yang terdampak dari kerentanan tersebut adalah: Spring MVC dan Spring WebFlux yang berjalan di JDK 9+; Apache Tomcat sebagai Servlet container yang dikemas sebagai traditional WAR dan digunakan sendiri pada Tomcat instance; dan Spring Framework versi 5.3.0 hingga 5.3.17, versi 5.2.0 hingga 5.2.19, dan versi yang lebih lama.

Beberapa hal yang dapat dilakukan untuk mencegah kerentanan tersebut diantaranya melakukan: pembaruan ke versi Spring Framework terbaru; pembaruan ke versi Spring Boot terbaru; pembaruan ke versi Tomcat terbaru; downgrade ke Java 8.5; dan disallowed fields.

Informasi lengkap berbagai langkah antisipasi tersebut dapat diunduh melalui link di bawah ini.

CCVE-2022-22965

Sumber : https://bssn.go.id/peringatan-keamanan-kerentanan-remote-code-execution-pada-spring-framework-cve-2022-22965/