‘Spring, un framework de développement largement reconnu, a récemment identifié une nouvelle vulnérabilité qui pourrait contourner les règles de sécurité dans certaines applications. La vulnérabilité, reconnue sous le nom de CVE-2024-38821, affecte spécifiquement les applications qui ont été créées à l’aide de Spring WebFlux. Les développeurs utilisant ce framework spécifique pour leurs applications sont invités à s’assurer que leurs systèmes sont mis à jour en mesure préventive.
La potentielle violation n’a de pertinence que si une application répond à des critères particuliers : tout d’abord, elle doit tirer parti de Spring WebFlux ; ensuite, l’application doit recourir au support de ressources statiques du framework ; et enfin, toute règle d’autorisation autre que permitAll doit être appliquée à ce support. La concurrence de ces conditions rend une application susceptible à la vulnérabilité identifiée.
La renommée du framework Spring dans la communauté des développeurs logiciels, notamment parmi les applications Java, souligne l’importance de cette nouvelle. Dans une enquête récente menée par Snyk en 2020, il a été révélé qu’un énorme 60% des applications Java ont été construites à l’aide du framework Spring. D’autres données recueillies par Incus Data ont montré que Spring Boot était utilisé par 58 à 72% des applications web, tandis que Spring MVC enregistrait une utilisation par 29 à 41% des applications.
Bien que la menace potentielle ait été détectée et signalée par Spring lui-même, selon la Base de données nationale sur les vulnérabilités (NVD), la vulnérabilité a un classement CVSS assez substantiel de 9,1. La gravité de la menace a été ouvertement contestée par des fournisseurs tels que Red Hat. Quoi qu’il en soit, cette divulgation souligne la nécessité pour les développeurs de logiciels de s’assurer qu’un protocole de mise à jour régulière est en place, en particulier pour ceux qui utilisent le framework Spring, afin de se protéger contre d’éventuelles vulnérabilités.’
