Уязвимость, выявленная в модуле Spring Core, позволяет привязывать данные в http-запросе к полям объектов приложения. Баг содержится в реализации метода getCachedIntrospectionResults, который может быть использован для несанкционированного доступа к этим объектам при передаче данных имен классов этих объектов через указанный HTTP-запрос.
Уязвимость присутствует в приложениях Spring MVC и Spring WebFlux, работающих под Java Development Kit (версии 9+), эксплуатация которых может привести к компрометации огромного количества серверов. Наиболее высокой угрозе подвержены корпоративные Java-приложения на базе Spring Framework с правами root, так как уязвимость в них позволяет скомпрометировать всю систему. Уязвимость CVE-2022-22965 исправлена в версиях Spring Framework 5.3.18 и 5.2.20.
«Текущая ситуация опасна тем, что во многих организациях не выстроен процесс мониторинга уязвимостей, и несмотря на оперативно выпущенные патчи и распространение рекомендаций по устранению уязвимостей, часть компаний по-прежнему находится под угрозой, — Даниил Чернов, директор Центра Solar appScreener компании «Ростелеком-Солар». — Наша исследовательская лаборатория следит за появлением уязвимостей нулевого дня, а команда разработчиков оперативно отражает их в базе поиска уязвимостей Solar appScreener. Так, с начала апреля база правил поиска уязвимостей постоянно пополняется другими обнаруженными багами в Spring: CVE-2022-22963, CVE-2022-22946, CVE-2022-22947, CVE-2022-22950».