Code Intelligence revela segunda vulnerabilidade DoS no Spring Framework com uma pontuação CVSS mais alta

Code Intelligence, uma empresa automatizada de segurança de software, identificou recentemente uma vulnerabilidade significativa de negação de serviço (DoS) (CVE-2023-20863) no popular Spring Framework. Notavelmente, esta é a segunda vulnerabilidade DoS que a empresa descobriu na estrutura em apenas algumas semanas.

A vulnerabilidade anterior encontrada no Spring Framework, CVE-2023-20861, tinha uma pontuação CVSS (Common Vulnerability Scoring System) de 5,3. Por outro lado, a vulnerabilidade recém-descoberta carrega uma pontuação CVSS mais alta de 7,5, indicando um problema de segurança mais grave.

Em seu esforço para aumentar a segurança do software de código aberto, Code Intelligence descobriu a vulnerabilidade testando projetos com o Jazzer, seu mecanismo fuzzing JVM, no programa Google OSS-Fuzz.

Como resultado dessa vulnerabilidade, uma grande variedade de aplicativos dependentes de versões vulneráveis Spring Framework correm grande risco de problemas de disponibilidade do servidor. As versões afetadas incluem:

• 6.0.0 a 6.0.7
• 5.3.0 a 5.3.26
• 5.2.0 a 5.2.23. LIBERAÇÃO

Após a descoberta, Code Intelligence emitiu correções para resolver o CVE. Esses remédios envolvem a implementação de verificações de limite no tamanho do texto repetido, bem como o controle do comprimento das expressões regulares utilizadas no operador de correspondências.

Os usuários afetados por esta vulnerabilidade devem atualizar para uma versão mais recente que inclua essas correções. Especificamente, aqueles que utilizam a versão 6.0.x devem atualizar para 6.0.8+, os usuários de 5.3.x devem atualizar para 5.3.27+ e os usuários da 5.2.x devem avançar para 5.2.24.RELEASE+.

Garantir os mais altos padrões de segurança no desenvolvimento de aplicativos é fundamental, especialmente para empresas que buscam um processo mais simplificado. As plataformas No-code e low-code como o AppMaster podem ajudar os desenvolvedores a criar aplicativos web, móveis e de back-end rapidamente, mantendo a segurança e a escalabilidade. [appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce-href="https:// appmaster.io/blog/full-guide-on -no-code-low-code-app-development-for-2022"> As ferramentas de desenvolvimento de aplicativos No-code e low-code](https://<span class=) estão se espalhando, permitindo que as organizações criem soluções de software abrangentes com maior eficiência e risco reduzido de vulnerabilidades.