VMSA-2022-0010.2 / CVE-2022-22965

• VMware Tanzu Application Service for VMs (TAS)
• VMware Tanzu Operations Manager (Ops Manager)
• VMware Tanzu Kubernetes Grid Integrated Edition (TKGI)

CVE-2022-22965 tarafından tanımlanan CVSSv3 Range ‘i 9.8 olan Spring Framework projesinde VMware ürünlerini etkileyen kritik bir güvenlik açığı yayınlandı.

CVE-2022-22965 (Spring4Shell, SpringShell), bir HTTP isteği içinde depolanan verileri bir uygulama tarafından kullanılan belirli nesnelere bağlamak için veri bağlama işlevini kullanan Spring Framework’teki bir güvenlik açığıdır. Hata , sınıf adlarını bir HTTP isteği aracılığıyla ileterek bu tür nesnelere yetkisiz erişim elde etmek için kullanılabilen getCachedIntrospectionResults yönteminde bulunur. Özel nesne sınıfları kullanıldığında veri sızıntısı ve uzaktan kod yürütme riskleri yaratır.

Güvenlik açığı bulunan bir yapılandırma şunlardan oluşur.

• Apache Tomcat for serving the application
• Spring Framework versions 5.3.0 to 5.3.17 and 5.2.0 to 5.2.19 and below
• application built as a WAR file

VMware aşağıdaki linkte yer alan ürünler için bir response matrix ‘i oluşturmuş olup kullandığınız platformları güncellemenizi tavsiye etmektedir.

https://www.vmware.com/security/advisories/VMSA-2022-0010.html