Vulnérabilité dans Spring Framework

06/04/2022

Contexte

Plusieurs vulnérabilités critiques ont été découvertes dans la bibliothèque Spring Framework et son écosystème. Cette bibliothèque est très souvent utilisée dans les projets de développement d’application Java/J2EE ainsi que par les éditeurs de solutions logicielles sur étagère basées sur Java/J2EE.

Deux de ces vulnérabilités permettent à un attaquant de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque (CERTFR-2022-AVI-297 et CERTFR-2022-ALE-002). La dernière peut provoquer une atteinte à la confidentialité, l’intégrité et/ou un deni de service à distance (CERTFR-2022-ALE-002).

Des preuves de concept ont déjà été publiées.

Impacts sur FlowerDocs

CERTFR-2022-AVI-287

Les applications FlowerDocs GUI, FlowerDocs Core n’utilisent pas la librairie de spring-cloud-function, elles ne sont donc pas vulnérables face à la vulnérabilité susmentionnée.

CERTFR-2022-ALE-002

Les applications FlowerDocs GUI, FlowerDocs Core n’utilisent pas la librairie de spring-cloud-gateway, elles ne sont donc pas vulnérables face à la vulnérabilité susmentionnée.

CERTFR-2022-AVI-297

Les applications FlowerDocs GUI, FlowerDocs Core n’utilisent pas la librairie spring-webflux mais embarque spring-webmvc. Cependant FlowerDocs GUI et FlowerDocs Core nécessitent un JDK 8 et non 9+ comme mentionné ici par l’éditeur pour l’exploitation de la vulnérabilité.

Les applications FlowerDocs GUI, FlowerDocs Core ne sont donc pas vulnérables face à la vulnérabilité susmentionnée.