Spring Framework: weitere SSRF Schwachstelle entdeckt

  1. April 2024 – Schon wieder wurde eine schwere Sicherheitslücke (CVE-2024-22262) im Spring Framework gefunden. Diese betrifft die Art und Weise, wie URLs durch die Verwendung des UriComponentsBuilder analysiert und Host-Überprüfungen durchgeführt werden. Betroffene Anwendungen könnten nach erfolgreichem Bestehen der Validierungsprüfungen Opfer von Open Redirect- oder Server-Side Request Forgery (SSRF)-Angriffen werden.

Diese Schwachstelle ist identisch mit den bereits früher gemeldeten CVEs 2024-22259 und 2024-22243, unterscheidet sich jedoch in den Eingabebedingungen.

Betroffene Produkte und Versionen:

  • Spring Framework
    • Versionen 6.1.0 bis 6.1.5
    • Versionen 6.0.0 bis 6.0.18
    • Versionen 5.3.0 bis 5.3.33
    • Ältere, nicht mehr unterstützte Versionen sind ebenfalls betroffen

Entwickler und Nutzer der betroffenen Versionen werden dringend dazu aufgerufen, ihre Systeme zu aktualisieren. Folgende Versionen wurden als sicher eingestuft:

  • Für 6.1.x: Update auf Version 6.1.6
  • Für 6.0.x: Update auf Version 6.0.19
  • Für 5.3.x: Update auf Version 5.3.34

Alle Updates sind als Open Source Software (OSS) verfügbar und sollen sofortigen Schutz gegen die potenziellen Angriffe bieten.

Experten raten zur schnellen Umsetzung dieser Updates, um mögliche Sicherheitsrisiken zu minimieren. Zusätzlich sollten Entwickler die Verwendung extern bereitgestellter URLs in ihren Anwendungen genau überprüfen und sicherstellen, dass alle externen Eingaben effektiv validiert werden, bevor sie weiterverarbeitet werden.

Related Posts

Kritische Sicherheitslücke in FortiClient Linux: Remote Code Execution

April 2024 - Sicherheitsforscher haben eine kritische Sicherheitslücke in FortiClient Linux veröffentlicht, die eine erhebliche Bedrohung für die Sicherheit der Benutzer darstellt. Diese Sicherheitslücke, kategorisiert als ‘Unzureichende Steuerung der Codegenerierung’ (auch bekannt als ‘Code Injection’) mit CWE-94, ermöglicht es nicht authentifizierten Angreifern, beliebigen Code auszuführen, indem sie eine Schwachstelle in der Node.js-Konfiguration ausnutzen. Bei erfolgreicher Ausnutzung können Angreifer nicht autorisierten Code oder Befehle ausführen, indem sie FortiClient Linux-Benutzer dazu bringen, eine bösartige Website zu besuchen. Dies könnte schwerwiegende Folgen haben, einschließlich Datenverlust, Systemkompromittierung und unbefugtem Zugriff auf sensible Informationen. Die Lücke CVE-2023-45590 wird mit CVSSv3 Score: 9.4 / 10 als kritisch bewertet

Read More

GitLab: Patch stopft kritische XSS Lücken

April 2024 - GitLab hat neue Versionen (16.10.2, 16.9.4, 16.8.6) für die Community Edition (CE) und Enterprise Edition (EE) veröffentlicht um teils kritische Lücken zu stopfen. Es wird dringend empfohlen On-Premise Instanzen auf die neueste Version zu aktualisieren. Titel Schweregrad Gespeicherter XSS-Injection im Diff-Viewer Hoch Gespeicherter XSS über Autovervollständigungsergebnisse Hoch Redos bei Integrations-Chat-Nachrichten Mittel Redos während des Parsens des JUnit-Testberichts Mittel Gepatchte Sicherheitslücken

Read More

Maximales Sicherheitsrisiko in Windows .bat und .cmd Dateien entdeckt

Der Sicherheitsexperte RyotaK von Flatt Security Inc. hat am 9.4.24 eine Schwachstelle in verschiedenen Programmiersprachen in Windows gemeldet, die unter bestimmten Umständen ein maximales Sicherheitsrisiko mit CVSS Score 10 / 10 darstellen kann. Die unter dem Namen BatBadBut geführte Schwachstelle, die es Angreifern ermöglicht, Befehlsinjektionen in Windows-Anwendungen durchzuführen, die indirekt von der Funktion CreateProcess abhängen. Diese Funktion startet implizit cmd.exe beim Ausführen von Batch-Dateien (.bat, .cmd), selbst wenn diese nicht explizit in der Befehlszeile angegeben sind. Dies wird problematisch, da cmd.exe komplexe Parsing-Regeln für Befehlsargumente hat und Laufzeitumgebungen von Programmiersprachen diese Argumente nicht korrekt escapen.

Read More