Vulnerabilità Spring – CVE-2022-22965

Il 31/03/2022 è stata resa nota una falla di tipo Remote Code Execution ( CVE-2022-22965 ) che coinvolge il framework Spring. Tale falla è stata categorizzata con il massimo livello di vulnerabilità ed impatta moltissimi software, tra i quali anche alcune versioni dei prodotti sviluppati e forniti da Ifin Sistemi.

Dalle informazioni diffuse, la vulnerabilità è sfruttabile se tutti i seguenti prerequisiti sono verificati:

  • Application container usato Apache Tomcat (Le versioni 10.0.20, 9.0.62 e 8.5.78 mitigano la vulnerabilità)
  • JDK 9 o superiore
  • Deploy in modalità WAR
  • Uso di spring-webmvc o spring-webflux
  • Spring framework 5.3.x (inferiore alla 5.3.18) o 5.2.x (inferiore alla 5.2.19)

I nostri tecnici stanno lavorando per mettere a disposizione delle versioni aggiornate dei prodotti che attualmente utilizzano versioni insicure del framework secondo quanto riportato nella tabella sottostante. Le applicazioni non riportate nella tabella sottostante non risultano impattate dalla vulnerabilità e non necessitano quindi di aggiornamenti correttivi.

Dai dati in nostro possesso, nessuna di queste versioni è utilizzata in ambienti di produzione.

Applicazioni coinvolte

ProdottoVersioni impattateCriticitàNoteVersioni correttive
Invoice Channel3.x o superioriBlockerNon è utilizzata in ambienti di produzione; pertanto la superficie di attacco stimata è prossima allo zero3.0.3.0
Pianificata per 08/04/2022
Legal Archive6.x o superioriCriticalNon utilizza le componenti spring-webmvc o spring-webflux.
Verrà tuttavia rilasciato un aggiornamento con le versioni più recenti di Spring
6.1.0.1
Pianificata per 08/04/2022
Butler2.x o superioriCriticalNon utilizza le componenti spring-webmvc o spring-webflux.
Verrà tuttavia rilasciato un aggiornamento con le versioni più recenti di Spring
2.2.1.0
Pianificata per 11/04/2022

Iscriviti qui alla newsletter