Spring Framework

Die Schwachstelle betrifft das Spring Framework, eine weit verbreitete Java-Grundlage für Webanwendungen. Anwendungen, die auf Spring MVC oder Spring WebFlux aufbauen und auf einer neueren Java-Laufzeitumgebung (JDK 9 oder höher) laufen, lassen sich über die sogenannte Datenbindung angreifen – also den Mechanismus, der eingehende Anfrageparameter automatisch auf Objektfelder der Anwendung abbildet. Ein Angreifer kann diese Bindung manipulieren und dadurch aus der Ferne eigenen Code auf dem Server ausführen. Der konkret bekannte Angriffsweg setzt voraus, dass die Anwendung als WAR-Paket auf einem Tomcat-Server betrieben wird. Wird sie hingegen als eigenständige, ausführbare Spring-Boot-Datei ausgeliefert – die Standardvariante –, greift dieser konkrete Weg nicht. Die zugrunde liegende Schwäche ist allerdings allgemeinerer Natur, sodass weitere Ausnutzungswege denkbar sind. Betroffen sind damit potenziell zahlreiche Java-Webanwendungen, die auf Spring aufsetzen.