Firma Pivotal opisała trzy luki ujawnione w Spring Framework. Podatności dotyczą wersji: 5.0 do 5.0.4, 4.3 do 4.3.14 i starszych.
CVE-2018-1270 – Remote Code Execution with spring-messaging – krytyczna podatność, umożliwia zdalne wykonywanie kodu.
CVE-2018-1271 – Directory Traversal with Spring MVC on Windows – umożliwia atakującemu dostęp do zastrzeżonych katalogów.
CVE-2018-1272 – Multipart Content Pollution with Spring Framework – podatność o niskim poziomie krytyczności, dotyczy Spring MVC lub Spring WebFlux.
Pivotal wypuścił nowe wersje Spring Framework 5.0.5 i 4.3.15, które zawierają poprawki dla wszystkich trzech luk.
Firma wydała również Spring Boot 2.0.1 i 1.5.11, adekwatne do poprawionych wersji Spring Framework.
Zespół CERT PSE zaleca administratorom aktualizację oprogramowania do najnowszych wersji.