VMWare Tanzu heeft een kwetsbaarheid verholpen in Spring Framework. Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheid misbruiken om een Denial-of-Service te veroorzaken op een applicatie draaiend in het framework. Voorwaarde van succesvol misbruik is dat de applicatie gebruik maakt van de org.springframework.boot:spring-boot-starter-web en org.springframework.boot:spring-boot-starter-security dependencies.

NCSC-2024-0039 [1.00] [De kans op misbruik van deze kwetsbaarheid is gemiddeld en de schade is gemiddeld] Kwetsbaarheid verholpen in VMware Tanzu Spring Framework

VMWare Tanzu is de leverancier van het Spring Framework, waarin een kwetsbaarheid is verholpen. Spring Framework is een open source framework voor het bouwen van enterprise Java-toepassingen.

Dit product kan worden gebruikt door ontwikkelaars en organisaties die enterprise Java-toepassingen willen bouwen en beheren. Het biedt een scala aan tools en bibliotheken om het ontwikkelproces te versnellen en de betrouwbaarheid en schaalbaarheid van de toepassingen te verbeteren.

De kwetsbaarheid die is verholpen, kan worden misbruikt door een ongeauthenticeerde kwaadwillende om een Denial-of-Service aanval te veroorzaken op een applicatie die draait in het Spring Framework. Dit kan leiden tot een verstoring van de dienstverlening en het onbeschikbaar maken van de toepassing voor gebruikers.

Het is van groot belang dat organisaties die gebruik maken van het Spring Framework, de patches direct implementeren om de kwetsbaarheid te verhelpen en zo de beveiliging van hun toepassingen te waarborgen. Het negeren van dit beveiligingsrisico kan leiden tot ernstige gevolgen voor de bedrijfsvoering en reputatie van de organisatie.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Oplossing beschikbaar via advisories.ncsc.nl