Исследователи безопасности сообщили 30 марта, что уязвимость нулевого дня, обнаруженная в популярной среде разработки веб-приложений Java Spring, вероятно, подвергает широкий спектр приложений уязвимости издалека.
31 марта сопровождающие Spring подтвердили, что уязвимость действительно ранее не раскрывалась, присвоили ей идентификатор (CVE-2022–22965) и подтвердили подробности.
Многие специалисты по безопасности прекратили слухи в социальных сетях о том, что код проверки концепции на самом деле использует старые, уже исправленные уязвимости. Уязвимость, на которую нацелен эксплойт, отличается от двух предыдущих уязвимостей, обнаруженных в среде Spring на этой неделе, — уязвимости Spring Cloud (CVE-2022–22963) и DoS-уязвимости Spring Expression (CVE-2022–22950). исследователям, изучающим вопросы
Удаленный пост в Твиттере
Китайский исследователь опубликовал скриншот доказательства концепции атаки. Хакеры быстро удалили скриншот, потому что публичное раскрытие информации об уязвимостях без одобрения правительства является уголовным преступлением в Китае. VX-Underground, центр наступательных кибертехнологий и вредоносных программ, написал в Твиттере об утечке примерно в полдень 30 марта.
