30 maart is er een kwetsbaarheid gevonden in een veelgebruikt component voor Java ook bekend als Spring4Shell - CVE-2022-229650.
Meer details zijn hier te vinden: Kritieke kwetsbaarheid spring4shell (Min. Economische zaken en Klimaat) en CVE-2022-22965 (nist.gov)
Wat is Spring4Shell?
Het Spring Framework, meestal afgekort tot Spring, is een framework gericht op ontwikkeling van software in de programmeertaal Java. Het framework combineert API's en ideeën waardoor het een alternatief biedt voor de standaard manier van ontwikkelen.
Een toepassing die gebruik maakt van de Java versie 9 met Spring kan kwetsbaar zijn voor het op afstand laten uitvoeren van programmacode via een data verbinding (Spring4Shell).
Wat is het risico?
De kwetsbaarheid maakt het mogelijk dat een kwaadwillende - zonder dat daar authenticatie voor nodig is - in bepaalde omstandigheden willekeurige code kan uitvoeren en zo toegang kan krijgen tot het programma/applicatie en de informatie in dat programma/applicatie.
Wat doet Caseware?
De Caseware programmatuur is niet kwetsbaar gebleken voor deze Spring4Shell-kwetsbaarheid, want het maakt geen gebruik van de bewuste Java versie in combinatie met Spring componenten die de kwetsbaarheid bevatten.