Konica Minolta è stata informata su due vulnerabilità critiche classificate con il più alto livello di rischio che interessano alcune applicazioni e alcuni servizi.
Le minacce Spring4Shell sfruttano alcune vulnerabilità dell'esecuzione di codice in modalità remota e sono state denominate Spring Core RCE (CVE-2022-22965) e Spring Cloud Function RCE (CVE-2022-22963).
La vulnerabilità CVE-2022-22965 (Spring4Shell) prende di mira il framework Spring Core ed è stata scoperta e confermata alla fine di marzo 2022. Spring Framework è un framework applicativo open source, che permette agli sviluppatori di sviluppare applicazioni basate su Java molto velocemente. Se sfruttata, questa vulnerabilità consente attacchi tramite l'esecuzione di codice remoto (RCE). Tuttavia, sembra essere ancora una vulnerabilità in fase proof-of-concept per implementazioni specifiche che usano il framework Spring.
Anche la vulnerabilità CVE-2022-22963 (Spring Cloud Function RCE) è stata scoperta e confermata alla fine di marzo 2022 e interessa la funzione Spring Cloud 3.1.6, 3.2.2 e le versioni precedenti non supportate. Quando si utilizza la funzionalità di routing, un utente è in grado di fornire uno SpEL appositamente predisposto come espressione di routing che che potrebbe eseguire codice in modalità remota e permettere l'accesso alle risorse locali.
Poiché entrambe le vulnerabilità sembrano essere ancora in una fase proof-of-concept, non disponiamo di un elenco di applicazioni/offerte interessate di Konica Minolta. Attualmente stiamo valutando quali versioni di applicazioni offerte potrebbero essere interessate e, in caso affermativo, come risolvere la vulnerabilità.
Konica Minolta considera prioritaria la sicurezza di dispositivi, applicazioni e servizi. Stiamo lavorando a una soluzione con la massima priorità e urgenza e forniremo aggiornamenti regolari sull'argomento.