Vulnérabilité dans Spring Cloud Function : Satnam Narang, staff research engineer de Tenable commente cette nouvelle faille baptisée Spring4Shell.
Avertissement concernant une vulnérabilité dans Spring Cloud Function
Vulnérabilité dans Spring Cloud Function
Le 29 mars, VMware a publié un avertissement concernant une vulnérabilité dans Spring Cloud Function (CVE-2022-22963), un framework permettant d’implémenter une logique métier via des fonctions. La vulnérabilité a actuellement un classement CVSSv3 de 5,4. Mais comme la vulnérabilité est considérée comme une faille d’exécution de code à distance qui peut être exploitée par un attaquant non authentifié, il semble que le score CVSSv3 ne reflète pas l’impact réel de cette faille.
Deux failles distinctes
Certains rapports confondent CVE-2022-22963 avec une autre faille d’exécution de code à distance dans Spring Core, appelée Spring4Shell ou SpringShell. Aucun CVE n’a été attribué à Spring4Shell, ce qui ajoute à la confusion.
Bien que les deux vulnérabilités soient des failles critiques d’exécution de code à distance, il s’agit de deux failles distinctes affectant des solutions différentes :
– CVE-2022-22963 existe dans Spring Cloud Function, un framework sans serveur qui fait partie de Spring Cloud, alors que
– Spring4Shell fait partie du Spring Framework, un modèle de programmation et de configuration pour les applications d’entreprise basées sur Java.
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Avec l’IA agentique, la robustesse des SI redevient stratégique
- Les erreurs du secteur bancaire dans son approche IA
- Crypto Crime 2026 : États et cybercriminels convergent vers une industrialisation des infrastructures
- IA & pilotage de portefeuille de projets : accélérer la décision sans en perdre le contrôle
Articles les + lus
Cryptographie post-quantique : le Campus Cyber publie deux guides clés pour accélérer la transition des entreprises
Cyberattaques : 46% des entreprises françaises perdent du chiffre d’affaires dès le premier jour
Le Cercle de l’Innovation décerne le Prix de l’Innovation du Public 2026
Les marchés publics peuvent-ils encore faire émerger des champions numériques français ?
Ready For IT 2026 : IA industrialisée, deepfakes et Prix Start-up au cœur des enjeux
À la une de la chaîne Enjeux IT
- Cryptographie post-quantique : le Campus Cyber publie deux guides clés pour accélérer la transition des entreprises
- Cyberattaques : 46% des entreprises françaises perdent du chiffre d’affaires dès le premier jour
- Le Cercle de l’Innovation décerne le Prix de l’Innovation du Public 2026
- Les marchés publics peuvent-ils encore faire émerger des champions numériques français ?
- Ready For IT 2026 : IA industrialisée, deepfakes et Prix Start-up au cœur des enjeux
