Peringatan Keamanan Kerentanan Remote Code Execution Pada Spring Framework

        Pada Akhir Maret 2022, Spring Shell – sebuah kerentanan pada Spring Framework  – yang merupakan open-source framework untuk pengembangan aplikasi berbasis Java terungkap. Kerentanan nbsp;Remote Code Execution melalui nbsp;data binding tersebut kemudian ditandai sebagai CVE-2022-22965. Hasil analisis menunjukkan nilai kerentanan CVSS 3.0 tersebut sebesar 9.8 yang dikategorikan CRITICAL.

        Produk yang terdampak dari kerentanan tersebut adalah: Spring MVC  dan Spring  WebFlux yang berjalan di JDK 9+; Apache Tomcat  sebagai Servlet container yang dikemas sebagai traditional WAR dan digunakan sendiri pada Tomcat instance; dan Spring Framework versi 5.3.0 hingga 5.3.17, versi 5.2.0 hingga 5.2.19, dan versi yang lebih lama.

        Beberapa hal yang dapat dilakukan untuk mencegah kerentanan tersebut diantaranya melakukan: pembaruan ke versi Spring Framework terbaru; pembaruan ke versi Spring Boot  terbaru; pembaruan ke versi Tomcat  terbaru; downgrade ke Java 8.5; dan disallowed fields.

Biro Hukum dan Komunikasi Publik BSSN.

Sumber  : https://bssn.go.id/peringatan-keamanan-kerentanan-remote-code-execution-pada-spring-framework-cve-2022-22965/>