Le 29 mars, VMware a publié un avertissement concernant une vulnérabilité dans Spring Cloud Function (CVE-2022-22963), un framework permettant d’implémenter une logique métier via des fonctions. Mais certains rapports la confondent avec une autre faille d’exécution de code à distance dans Spring Core, appelée Spring4Shell ou SpringShell, dont le nom présente des similitude avec Log4Shell…
Bien que les deux vulnérabilités soient des failles critiques d’exécution de code à distance, il s’agit de deux failles distinctes affectant des solutions différentes. Satnam Narang, staff research engineer de Tenable, explique : « CVE-2022-22963 existe dans Spring Cloud Function, un framework sans serveur qui fait partie de Spring Cloud, alors que Spring4Shell fait partie du Spring Framework, un modèle de programmation et de configuration pour les applications d’entreprise basées sur Java ».
Cette vulnérabilité dans Spring Cloud Function a actuellement un classement CVSSv3 de 5,4. Gare cependant. Selon Satnam Narang, « comme la vulnérabilité est considérée comme une faille d’exécution de code à distance qui peut être exploitée par un attaquant non authentifié, il semble que le score CVSSv3 ne reflète pas l’impact réel de cette faille. »
Spring4Shell ne semble pas être aussi importante que Log4Shell
Malgré sa convention de naming qui présente une similitude avec Log4Shell, Spring4Shell (CVE-2022-22965) n’est pas apparentée et ne semble pas être aussi importante que Log4Shell. « Tout comme pour Log4Shell, il faudra un certain temps avant de connaître la portée et l’impact réel de Spring4Shell, mais nous pouvons affirmer qu’il ne sera pas aussi important que Log4Shell », explique l’expert.
