Hace unos meses, la vulnerabilidad Log4Shell, que afectaba a la librería open source Apache Log4j (y con ella, a casi todas las grandes plataformas web), causó una oleada de preocupación en la industria tecnológica y llegó a provocar una reunión en la Casa Blanca que tomar medidas con respecto al modo en que se estaban planteando el mantenimiento de software crítico para la infraestructura de Internet.

Ahora, una nueva vulnerabilidad 'zero day', conocida como 'Spring4Shell', acaba de salir a la luz, y algunos expertos afirman que podría tener "un impacto mayor" que el que tuvo Log4Shell en su momento. Bueno, técnicamente se trata de dos vulnerabilidades: 'Spring4Shell' propiamente dicha, también conocida como CVE-2022-22965, y una vulnerabilidad menor llamada CVE-2022-22963.

Spring4Shell afecta a las aplicaciones desarrolladas con el framework Spring, creado con el fin de agilizar la creación de software con Java. Como en el caso de Log4Shell, su existencia se hizo pública tras ser descubierta la vulnerabilidad por un investigador de ciberseguridad chino que difundió un exploit de prueba en varios tuits ya eliminados.

The "vulnerable code" in Spring is creating a "deep clone" of an object by serializing and then deserializing it. In Java, any attempts to deserialize an object can result in RCE if an attacker is able to control the data being passed. More info in link https://t.co/J2RA1jd9G4— LunaSec (@LunaSecIO) March 30, 2022

El framework Spring es usado en el desarrollo de aproximadamente el 74% de las aplicaciones Java

¿Qué dicen los expertos?

…