Добрый день!
Пару дней назад в Spring Framework была найдена критическая уязвимость: https://tanzu.vmware.com/security/cve-2022-22965
Как сказано в отчете, уязвимость проявляется в следующих условиях:
- JDK 9 or higher
- Apache Tomcat as the Servlet container
- Packaged as WAR
- spring-webmvc or spring-webflux dependency
Кроме того, известные сценарии воспроизведения уязвимости включают в себя использование POJO привязанных к параметрам запроса контроллеров Spring MVC. Такой сценарий используется в платформе CUBA только в аддоне WebDAV. Таким образом, вероятно ваш проект уязвим только если вы используете WebDAV или если у вас есть собственные Spring MVC контроллеры с POJO в параметрах запроса. Примите также во внимание, что WebDAV контроллеры требуют аутентификации, так что вероятность реальной атаки низка.
Тем не менее, мы рекомендуем обновить зависимость spring-webmvc в вашем проекте. Если вы используете CUBA v.7.2, добавьте следующую строку в файл build.gradle:
configure(globalModule) {
dependencies {
compile('org.springframework:spring-webmvc:5.2.20.RELEASE')
// ...
Если ваш проект использует CUBA 6.10 (а значит Java 8), то данной уязвимости в нем нет.
На следующей неделе мы выпустим новую версию 7.2.19 платформы CUBA с обновленными зависимостями (см. https://github.com/cuba-platform/cuba/issues/3265). После апргрейда проекта на CUBA 7.2.19, удалите явную зависимость на spring-webmvc из вашего build.gradle.
Рекомендации для Jmix: Об уязвимости в Spring Framework (Spring4Shell) - Анонсы - Jmix