11. April 2024 – Schon wieder wurde eine schwere Sicherheitslücke (CVE-2024-22262) im Spring Framework gefunden. Diese betrifft die Art und Weise, wie URLs durch die Verwendung des UriComponentsBuilder
analysiert und Host-Überprüfungen durchgeführt werden. Betroffene Anwendungen könnten nach erfolgreichem Bestehen der Validierungsprüfungen Opfer von Open Redirect- oder Server-Side Request Forgery (SSRF)-Angriffen werden.
Diese Schwachstelle ist identisch mit den bereits früher gemeldeten CVEs 2024-22259 und 2024-22243, unterscheidet sich jedoch in den Eingabebedingungen.
Betroffene Produkte und Versionen:
- Spring Framework
- Versionen 6.1.0 bis 6.1.5
- Versionen 6.0.0 bis 6.0.18
- Versionen 5.3.0 bis 5.3.33
- Ältere, nicht mehr unterstützte Versionen sind ebenfalls betroffen
Entwickler und Nutzer der betroffenen Versionen werden dringend dazu aufgerufen, ihre Systeme zu aktualisieren. Folgende Versionen wurden als sicher eingestuft:
- Für 6.1.x: Update auf Version 6.1.6
- Für 6.0.x: Update auf Version 6.0.19
- Für 5.3.x: Update auf Version 5.3.34
Alle Updates sind als Open Source Software (OSS) verfügbar und sollen sofortigen Schutz gegen die potenziellen Angriffe bieten.
Experten raten zur schnellen Umsetzung dieser Updates, um mögliche Sicherheitsrisiken zu minimieren. Zusätzlich sollten Entwickler die Verwendung extern bereitgestellter URLs in ihren Anwendungen genau überprüfen und sicherstellen, dass alle externen Eingaben effektiv validiert werden, bevor sie weiterverarbeitet werden.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: