Vulnerabilidad de alta gravedad en Spring Framework

Spring es un framework para el desarrollo de aplicaciones y contenedor de inversión de control, de código abierto para la plataforma Java. Su naturaleza versátil acomoda el lenguaje Java en varios entornos empresariales al tiempo que ofrece soporte para Groovy y Kotlin como lenguajes alternativos en Java Virtual Machine (JVM).

Spring Framework, con la finalidad de mantener un ambiente seguro, ha lanzado actualizaciones para abordar dos vulnerabilidades.

La vulnerabilidad identificada como CVE-2023-20860 y puntuación CVSS de 8.8, es una falla por omisión de seguridad que podría ocurrir al usar el patrón de doble comodín sin prefijo “**” en la configuración de Spring Security con mvcRequestMatcher.

Esta configuración crea una discrepancia de coincidencia de patrones entre Spring Security y Spring MVC, lo que podría permitir el acceso no autorizado.

Versiones y productos Spring afectados

  • 6.0.0 a 6.0.6
  • 5.3.0 a 5.3.25
  • Las versiones anteriores a la 5.3 no se ven afectadas

Mitigación

Las siguientes versiones de Spring Framework contienen correcciones para esta vulnerabilidad:

  • 6.0.7+
  • 5.3.26+

La vulnerabilidad identificada como CVE-2023-20861 y puntuación CVSS de 5.3, podría permitir que un usuario proporcione una Spring Expression (SpEL) especialmente diseñada que puede causar una condición de denegación de servicio (DoS).

Versiones y productos Spring afectados

  • 6.0.0 to 6.0.6
  • 5.3.0 to 5.3.25
  • 5.2.0.RELEASE to 5.2.22.RELEASE

Mitigación

Las versiones que han solucionado este problema incluyen:

  • 6.0.7+
  • 5.3.26+
  • 5.2.23.LIBERAR+

Recomendaciones

  • Actualizar Spring Framework a la última versión disponible lo antes posible.

Referencias