Saldırganlar, VMware Tanzu Spring Security'deki toplam yedi güvenlik açığından yararlanabilir ve en kötü senaryoda kendi kodlarını çalıştırabilir. Güvenlik güncellemeleri artık mevcut. Yazılım üreticisinin saldırılarına ilişkin henüz bir kanıt bulunmamakla birlikte, yöneticilerin yamaları derhal yüklemesi gerekmektedir.
Duyurudan sonra devamını okuyun
Tanzu Spring Security, Spring tabanlı uygulamaların yönetimini mümkün olduğunca güvenli hale getiren bir kimlik doğrulama ve erişim kontrolü çerçevesidir. Ancak artık başlı başına bir güvenlik riski haline geliyor.
Çeşitli tehlikeler
Bir uyarı mesajına göre en tehlikelisi “eleştirmen” Dinamik istemci kaydında güvenlik açığı (CVE-2026-22752). Yeni bir istemci kaydedilirken meta veri alanları yeterince kontrol edilmediğinden, saldırganlar buraya bir istismar ekleyebilir. Ancak bunu yapmak için zaten geçerli bir başlangıç erişim belirtecine sahip olmaları gerekir. Bir saldırı işe yararsa, saldırganlar kendi kontrolleri altındaki bir istemciyi kaydedebilir ve diğer şeylerin yanı sıra, depolanan bir XSS saldırısının parçası olarak kötü amaçlı kod çalıştırabilir.
Diğer iki boşluk tehdit düzeyiyle ilgilidir”yüksek” sınıflandırılmış (CVE-2026-22754, CVE-2026-22753). Saldırganlar aslında korunması gereken yollara istek gönderebildikleri için güvenlik mekanizmaları atlanabilir.
Güvenlik yamalarını yükleyin
Geliştiriciler dosyadaki güvenlik sorunlarının giderilmesini sağlar Tanzu Spring Security Edition 7.0.5 ve Spring Yetkilendirme Sunucusu 1.3.11, 1.4.10 ve 1.5.7 çözdüler.
Yöneticiler, yazılımdaki güvenlik açıkları ve tehdit altındaki ve korunan sürümler hakkında ek ayrıntıları VMware Tanzu web sitesinin güvenlik bölümünde bulabilir.
Duyurudan sonra devamını okuyun
(des)
Bir yanıt yazın