Décidément, l’écosystème Java n’en finit pas avec les vulnérabilités.Cette fois, ce n’est plus le plug-in Java qui est pointé du doigt, mais Spring, le célèbre Framework open source utilisé pour construire et définir l’infrastructure des applications Java critiques.
Les experts en sécurité du cabinet Aspect Security ont découvert une faille critique dans l’outil, pouvant être exploitée par des pirates distants pour exécuter du code arbitraire sur les machines affectées.
Baptisée « remote code with Expression Language injection », la vulnérabilité se situe au niveau de la fonction « expression language » du Framework et peut entrainer la corruption des applications sous Spring et la perte du contrôle de tout système reposant sur le Framework.
Se référant aux données de Sonatype, qui exploite le référentiel central pour des composants open source, Aspect Security estime que plus de 1,3 million de versions vulnérables de Spring ont été téléchargées par plus de 22 000 organisations à travers le monde.
La communauté Spring travaille déjà sur un correctif pour cette faille qui s’avère, cependant, difficile à patcher rapidement. Pour l’instant, il est conseillé aux personnes utilisant le Framework Java de désactiver la fonction « expression language ».
La vulnérabilité, qui n’est pas facilement exploitable, ne serait pas activement utilisée pour l’instant. Mais, pour combien de temps ?
Source : Aspect Security
Envoyé par Traroth2
Ça ne peut pas être un hasard !
