Code Intelligence, una empresa de seguridad de software automatizado, identificó recientemente una importante vulnerabilidad de denegación de servicio (DoS) (CVE-2023-20863) en el popular Spring Framework. Sorprendentemente, esta es la segunda vulnerabilidad DoS que la compañía ha descubierto en el marco en solo unas pocas semanas.
La vulnerabilidad anterior encontrada en Spring Framework, CVE-2023-20861, tenía una puntuación CVSS (Common Vulnerability Scoring System) de 5,3. Por el contrario, la vulnerabilidad recién descubierta tiene una puntuación CVSS más alta de 7,5, lo que indica un problema de seguridad más grave.
En su esfuerzo por mejorar la seguridad del software de código abierto, Code Intelligence descubrió la vulnerabilidad al probar proyectos con Jazzer, su motor fuzzing JVM, en el programa Google OSS-Fuzz.
Como resultado de esta vulnerabilidad, una amplia gama de aplicaciones que dependen de versiones vulnerables de Spring Framework corren un gran riesgo de sufrir problemas de disponibilidad del servidor. Las versiones afectadas incluyen:
- 6.0.0 a 6.0.7
- 5.3.0 a 5.3.26
- 5.2.0 a 5.2.23.LIBERAR
Tras el descubrimiento, Code Intelligence emitió correcciones para abordar el CVE. Estos remedios implican la implementación de controles de límite en el tamaño del texto repetido, así como el control de la longitud de las expresiones regulares utilizadas en el operador de coincidencias.
Se insta a los usuarios afectados por esta vulnerabilidad a actualizar a una versión más reciente que abarque estas correcciones. Específicamente, aquellos que utilizan la versión 6.0.x deben actualizar a 6.0.8+, los usuarios de 5.3.x deben actualizar a 5.3.27+ y aquellos en 5.2.x deben avanzar a 5.2.24.RELEASE+.
Garantizar los más altos estándares de seguridad en el desarrollo de aplicaciones es primordial, especialmente para las empresas que buscan un proceso más optimizado. Las plataformas No-code y low-code como AppMaster pueden ayudar a los desarrolladores a crear aplicaciones web, móviles y back-end rápidamente, manteniendo la seguridad y la escalabilidad. appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce-href="https:// appmaster.io/blog/full-guide-on -no-code-low-code-app-development-for-2022"> Las herramientas de desarrollo de aplicaciones No-code y low-code se están generalizando, lo que permite a las organizaciones crear soluciones de software integrales con mayor eficiencia y menor riesgo de vulnerabilidades.