Code Intelligence, una società di sicurezza software automatizzata, ha recentemente identificato una significativa vulnerabilità Denial of Service (DoS) (CVE-2023-20863) nel popolare Spring Framework. Sorprendentemente, questa è la seconda vulnerabilità DoS che l'azienda ha scoperto nel framework in poche settimane.
La precedente vulnerabilità rilevata nello Spring Framework, CVE-2023-20861, aveva un punteggio CVSS (Common Vulnerability Scoring System) di 5,3. Al contrario, la nuova vulnerabilità presenta un punteggio CVSS più alto di 7,5, che indica un problema di sicurezza più grave.
Nel tentativo di migliorare la sicurezza del software open source, Code Intelligence ha scoperto la vulnerabilità testando i progetti con Jazzer, il suo motore fuzzing JVM, nel programma Google OSS-Fuzz.
Come risultato di questa vulnerabilità, un'ampia gamma di applicazioni dipendenti da versioni vulnerabili di Spring Framework è a grande rischio di problemi di disponibilità del server. Le versioni interessate includono:
- 6.0.0 a 6.0.7
- 5.3.0 a 5.3.26
- 5.2.0 a 5.2.23.RELEASE
In seguito alla scoperta, Code Intelligence ha rilasciato correzioni per risolvere il CVE. Questi rimedi comportano l'implementazione di controlli limite sulla dimensione del testo ripetuto, nonché il controllo della lunghezza delle espressioni regolari utilizzate nell'operatore di corrispondenze.
Gli utenti interessati da questa vulnerabilità sono invitati a eseguire l'aggiornamento a una versione più recente che includa queste correzioni. In particolare, coloro che utilizzano la versione 6.0.x dovrebbero eseguire l'aggiornamento alla 6.0.8+, gli utenti della 5.3.x dovrebbero eseguire l'aggiornamento alla 5.3.27+ e quelli della 5.2.x dovrebbero passare alla 5.2.24.RELEASE+.
Garantire i più elevati standard di sicurezza nello sviluppo delle applicazioni è fondamentale, soprattutto per le aziende che cercano un processo più snello. Piattaforme No-code e low-code come AppMaster possono aiutare gli sviluppatori a creare rapidamente applicazioni web, mobili e back-end, mantenendo sicurezza e scalabilità. appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce-href="https:// appmaster.io/blog/full-guide-on -no-code-low-code-app-development-for-2022"> Gli strumenti di sviluppo di app No-code e low-code si stanno diffondendo, consentendo alle organizzazioni di creare soluzioni software complete con maggiore efficienza e ridotto rischio di vulnerabilità.