Vulnerabilidad VMware en Spring Data REST

20 Septiembre 2022
Medio

VMWare Tanzu ha publicado un nuevo aviso de seguridad  que afecta a Spring Data REST, la falla de seguridad contempla 1 vulnerabilidad de severidad media.

CVE-2022-31679
Potential Unintended Data Exposure for Resource Exposed by Spring Data REST

Si un atacante conoce la estructura del modelo de dominio subyacente y las aplicaciones que permiten el acceso HTTP PATCH a los recursos expuestos por Spring Data REST en las versiones 3.6.0 - 3.5.5, 3.7.0 - 3.7.2 y versiones anteriores no admitidas, es posible que se puedan crear solicitudes HTTP que expongan atributos de entidad ocultos.

 

Mitigación

Los usuarios de las versiones afectadas deben aplicar la siguiente mitigación: 

  • Los usuarios de 3.6.x deben actualizar a 3.6.7+ (incluido en Spring Boot 2.6.12+). 
  • Los usuarios de 3.7.x deben actualizar a 3.7.3+ (incluido en Spring Boot 2.7.4+)

 

Solución alternativa

Si los recursos expuestos por Spring Data REST no necesitan admitir solicitudes HTTP PATCH, puede deshabilitar ese soporte como se describe en el siguiente enlace. Las aplicaciones que generalmente tienen deshabilitado el soporte de HTTP PATCH, ya sea a través de la configuración correspondiente de Spring Data REST, Spring Boot o a través de su infraestructura de tiempo de ejecución, tampoco se ven afectadas.

 

Vulnerabilidad afecta al Hypervisor de Citrix

Palo Alto informa recientes fallas de seguridad

Nuevas vulnerabilidades en Cisco afectan al IOS XR

 

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Parche #VMWare #Tanzu #Spring Data REST
  • Productos Afectados
  • Producto Versión
    Spring Data REST 3.6.0 a 3.6.6
    3.7.0 a 3.7.2
    versiones anteriores no compatibles


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.