Уязвимость, получившая название Spring4Shell и SpringShell, вызвала огромный ажиотаж среди ИБ-экспертов за последние 24 часа. В частности, исследователи безопасности пытались выяснить, является ли проблема новой, или проистекает из более старой уязвимости. По данным специалистов из Praetorian и Flashpoint , уязвимость новая, и проэксплуатировать ее можно удаленно, если приложение Spring развернуто на сервере Apache Tomcat с распространенной конфигурацией. Для эксплуатации уязвимости атакующему необходимо установить местоположение и идентифицировать установки web-приложения, использующие DeserializationUtils. Уязвимость не затрагивает приложения Spring, использующие Spring Boot и встроенный Tomcat. Для Spring4Shell, вероятно, потребуется широкое обновление, чтобы гарантировать безопасность установок, пояснил старший технический директор Praetorian Ричард Форд.