Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades críticas que afectan al framework de desarrollo para Java llamado Spring Boot, que permitirían a un atacante realizar omisión (bypass) de seguridad y denegación de servicios (DoS) en el sistema afectado.
El software afectado es:
- Spring Boot, versiones 3.0.0 a 3.0.6.
- Spring Boot, versiones 2.7.0 a 2.7.11
- Spring Boot, versiones 2.6.0 a 2.6.14.
- Spring Boot, versiones 2.5.0 a 2.5.14
- Versiones anteriores que ya no cuentan con soporte.
Información adicional:
- https://www.cert.gov.py/wp-content/uploads/2023/05/BOL-CERT-PY-2023-22-Vulnerabilidades-de-omision-de-seguridad-y-denegacion-de-servicios-DoS-en-Spring-Boot.pdf
- https://securityonline.info/cve-2023-20883-cve-2023-20873-two-high-severity-vulnerabilities-in-spring-boot/
- https://nvd.nist.gov/vuln/detail/CVE-2023-20873
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20883
- https://spring.io/security/cve-2023-20873
- https://spring.io/security/cve-2023-20883
- https://github.com/spring-projects/spring-boot/releases
- https://www.cert.gov.py/noticias/vulnerabilidad-de-evasion-de-controles-de-seguridad-en-spring-boot/
- Release v3.0.7 · spring-projects/spring-boot · GitHub
- Release v2.7.12 · spring-projects/spring-boot · GitHub
- Release v2.6.15 · spring-projects/spring-boot · GitHub
- Release v2.5.15 · spring-projects/spring-boot · GitHub