La vulnérabilité Java de VMware Spring Cloud permet une exécution instantanée du code à distance – mettez à jour maintenant !

VMWare Spring est une boîte à outils Java open source permettant de créer de puissantes applications Java, y compris des applications basées sur le cloud, sans avoir besoin d’écrire, de gérer, de s’inquiéter ou même de comprendre vous-même la partie « serveur » du processus.

Vous n’avez pas besoin de vous soucier du type de serveur sur lequel votre code s’exécute, ni même de vous en préoccuper : il peut s’agir de votre propre serveur, configuré et géré par vos collègues de l’informatique ; ou une instance cloud hébergée et exécutée sur un fournisseur de services cloud populaire.

Une partie de l’écosystème Spring est un ensemble de composants appelé Spring Cloud grâce auquel vous pouvez connecter le code Spring directement aux services cloud bien connus d’Alibaba, Amazon, Azure, Netflix et bien d’autres.

Il existe un sous-composant dans Spring Cloud appelé Spring Cloud Function qui vous permet de faire de la programmation sans service dite « fonctionnelle », où vous écrivez les fonctions Java qui sont appelées lorsque des requêtes Web spécifiques arrivent, sans vous soucier de la façon dont le système Spring environnant a figuré que votre fonction était la bonne à appeler.

Ensuite, le code source de cet en-tête est exécuté sur le serveur, directement dans le monde du serveur Spring Cloud.

Le code de preuve de concept est déjà facilement disponible sur Internet, montrant comment injecter du code Java non autorisé dans les demandes entrantes de Spring Cloud Function et comment utiliser ce code pour exécuter un programme indésirable.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.