Nouvelle vulnérabilité Zero-Day dans Spring

Récemment, des chercheurs ont découvert une vulnérabilité critique dans Spring, un framework open source pour la plateforme Java. Cette vulnérabilité a été nommée Spring4Shell (CVE-2022-22965) en référence au fameux Log4j (CVE-2021-44228).

DataSunrise est au courant de la divulgation récente de ce problème de sécurité et de son exploitation à travers le monde. Nous surveillons activement cette question, même si notre produit n’a pas été affecté.

Par la présente, nous confirmons que le logiciel DataSunrise n’a pas été affecté par ce problème de sécurité. DataSunrise n’utilise pas le Spring Core affecté dans le logiciel ni ailleurs.

La vulnérabilité Spring4Shell permet aux attaquants d’exécuter à distance du code malveillant sous certaines conditions. Mais il existe d’autres moyens possibles d’exploiter cette vulnérabilité.

Tout d’abord, nous vous encourageons à vérifier tous vos environnements contenant ou pouvant contenir le framework Spring. Pour les étapes de sécurité et de remédiation, veuillez mettre à jour Spring vers les versions sécurisées 5.3.18 ou 5.2.20 et consulter son site pour les éventuelles solutions de contournement.

Si vous avez besoin de détails supplémentaires ou d’aide, veuillez contacter notre équipe de support.