اكتشف باحثون أمنيون ثلاثة نقاط ضعف في إطار تطوير الربيع ، أحدها هو خطأ في تنفيذ التعليمات البرمجية عن بعد قد يسمح للمهاجمين عن بعد بتنفيذ أوامر تخريبية ضد التطبيقات المبنية معه.
إطار الربيع هو إطار عمل شائع وخفيف الوزن ومفتوح المصدر لتطوير تطبيقات المؤسسة القائمة على Java.
في تقرير صدر اليوم عن شركة Pivotal ، قامت الشركة بالتفصيل بعد ثلاثة نقاط ضعف تم اكتشافها في إصدارات Spring Framework من 5.0 إلى 5.0.4 ، ومن 4.3 إلى 4.3.14 ، والإصدارات القديمة غير المدعومة:
- حرجة : تنفيذ التعليمات البرمجية عن بعد مع مراسلات الربيع (CVE-2018-1270)
- عالية : دليل Traversal مع Spring MVC على نظام التشغيل Windows (CVE-2018-1271)
- منخفض : تلوث المحتوى متعدد الأجزاء مع إطار الربيع (CVE-2018-1272)
تعرض إصدارات إطار الربيع الضعيف عملاء STOMP عبر نقاط نهاية WebSocket مع وسيط STOMP في الذاكرة من خلال وحدة 'spring-messaging' ، والتي قد تسمح لمهاجم بإرسال رسالة تم إعدادها بشكل ضار إلى الوسيط ، مما يؤدي إلى هجوم تنفيذ تعليمات برمجي عن بُعد (CVE) -2٬018-1270).
"إن استخدام المصادقة والتخويل من الرسائل ، مثل تلك التي يوفرها Spring Security ، يمكن أن يحد من التعرض لهذه الثغرة فقط للمستخدمين المسموح لهم باستخدام التطبيق" ، تقترح الشركة.
يقع الخطأ الثاني (CVE-2018-1271) في جهاز عرض نموذج عرض الويب (MVC) الخاص بـ Spring والذي يسمح للمهاجمين بتنفيذ هجوم اجتياز الدليل والوصول إلى الدلائل المحدودة عند تكوينها لخدمة موارد ثابتة (مثل CSS و JS والصور) من نظام الملفات على ويندوز.
لا تعمل هذه الثغرة الأمنية إذا كنت لا تستخدم Windows لعرض المحتوى ويمكن تجنبه إذا كنت لا تخدم ملفات من نظام الملفات أو تستخدم Tomcat / WildFly كخادم.
أصدرت Pivotal Spring Framework 5.0.5 و 4.3.15 ، والتي تتضمن إصلاحات لكافة الثغرات الثلاثة. كما قامت الشركة بإصدار Spring Boot 2.0.1 و 1.5.11 ، والتي تتطابق مع إصدارات Spring Framework ذات التصحيحات.
لذلك ، يوصى بشدة للمطورين والإداريين بترقية برامجهم إلى أحدث الإصدارات فورًا.