Vulnerabilità Spring – CVE-2022-22965
Il 31/03/2022 è stata resa nota una falla di tipo Remote Code Execution ( CVE-2022-22965 ) che coinvolge il framework Spring. Tale falla è stata categorizzata con il massimo livello di vulnerabilità ed impatta moltissimi software, tra i quali anche alcune versioni dei prodotti sviluppati e forniti da Ifin Sistemi.
Dalle informazioni diffuse, la vulnerabilità è sfruttabile se tutti i seguenti prerequisiti sono verificati:
- Application container usato Apache Tomcat (Le versioni 10.0.20, 9.0.62 e 8.5.78 mitigano la vulnerabilità)
- JDK 9 o superiore
- Deploy in modalità WAR
- Uso di spring-webmvc o spring-webflux
- Spring framework 5.3.x (inferiore alla 5.3.18) o 5.2.x (inferiore alla 5.2.19)
I nostri tecnici stanno lavorando per mettere a disposizione delle versioni aggiornate dei prodotti che attualmente utilizzano versioni insicure del framework secondo quanto riportato nella tabella sottostante. Le applicazioni non riportate nella tabella sottostante non risultano impattate dalla vulnerabilità e non necessitano quindi di aggiornamenti correttivi.
Dai dati in nostro possesso, nessuna di queste versioni è utilizzata in ambienti di produzione.
Applicazioni coinvolte
Prodotto | Versioni impattate | Criticità | Note | Versioni correttive |
---|---|---|---|---|
Invoice Channel | 3.x o superiori | Blocker | Non è utilizzata in ambienti di produzione; pertanto la superficie di attacco stimata è prossima allo zero | 3.0.3.0 Pianificata per 08/04/2022 |
Legal Archive | 6.x o superiori | Critical | Non utilizza le componenti spring-webmvc o spring-webflux. Verrà tuttavia rilasciato un aggiornamento con le versioni più recenti di Spring | 6.1.0.1 Pianificata per 08/04/2022 |
Butler | 2.x o superiori | Critical | Non utilizza le componenti spring-webmvc o spring-webflux. Verrà tuttavia rilasciato un aggiornamento con le versioni più recenti di Spring | 2.2.1.0 Pianificata per 11/04/2022 |
Iscriviti qui alla newsletter