แอปเปิลออกอัพเดตระบบปฏิบัติการเพื่อแก้ไขช่องโหว่ระดับ Zero-Day สองรายการ ซึ่งมีรายงานการใช้ช่องโหว่ดังกล่าวแล้ว จึงแนะนำให้ผู้ใช้งานอัพเดตทันที

โดยอัพเดตที่แก้ไขช่องโหว่นี้แล้วได้แก่ iOS 17.1.2 สำหรับ iPhone, iPadOS 17.1.2 สำหรับ iPad และ macOS Sonoma 14.1.2 สำหรับ Mac

ช่องโหว่ทั้งหมดเป็นของเอ็นจิน WebKit CVE-2023-42916 และ CVE-2023-42917 ที่ผู้โจมตีสามารถเข้าถึงข้อมูลได้ผ่านเว็บเพจที่ปรับแต่งเฉพาะ ซึ่งสำหรับ iOS แอปเปิลบอกว่าช่องโหว่นี้พบได้ใน iOS เวอร์ชันก่อน 16.7.1

ที่มา: 9to5Mac

ไมโครซอฟท์ออก Patch Tuesday รอบเดือนพฤศจิกายน 2023 โดยแพตช์รอบเดือนนี้ นอกจากเป็นแพตช์ความปลอดภัยตามปกติแล้ว ยังมีอัพเดตฟีเจอร์ Windows 11 23H2 ที่รวมฟีเจอร์รอบเดือนกันยายน 2023 มาด้วย คนที่ยังไม่ได้กดอัพเดตช่วงก่อนหน้านี้ หากมากดอัพเดตแพตช์เดือนพฤศจิกายนตามรอบปกติ ก็จะได้ทุกอย่างไปด้วย

ส่วนคนที่อัพเดตฟีเจอร์ไปหมดแล้ว รวมถึงคนที่ใช้ Windows 10 ก็จะได้แพตช์ความปลอดภัยอย่างเดียว

โครงการ curl ออกเวอร์ชั่น 8.4.0 แก้ไข่ช่องโหว่ CVE-2023-38545 และ CVE-2023-38546 ตามที่ประกาศไว้ โดยช่องโหว่ CVE-2023-38545 นั้นเป็นช่องโหว่ระดับร้ายแรงสูงสามารถรันโค้ดในเครื่องของเหยื่อได้

แม้จะเป็นช่องโหว่รันโค้ด แต่เงื่อนไขการเจาะก็นับว่าเฉพาะพอสมควร คนร้ายต้องสามารถกระตุ้นให้เซิร์ฟเวอร์เชื่อมต่อไปยังโดเมนใดๆ เช่น การโพสลิงก์ให้แล้วเซิร์หเวอร์โหลดข้อมูลทำ preview และตัวเซิร์ฟเวอร์ต้องอยู่หลัง SOCKS5 proxy อีกชั้นหนึ่ง ช่องโหว่อาศัยบั๊กการจัดการหน่วยความจำเมื่อชื่อเครื่องปลายทางยาวเกิน 255 ตัวอักษร

แอปเปิลออกอัพเดตระบบปฏิบัติการให้อุปกรณ์รุ่นเก่า หรืออุปกรณ์ที่เลือกไม่อัพเดตเป็นซอฟต์แวร์ระบบปฏิบัติการเวอร์ชันล่าสุด ได้แก่ iOS 16.7.1 สำหรับ iPhone และ iPadOS 16.7.1

ผู้ใช้งานสามารถอัพเดตได้โดยไปที่ Settings > General > Software Update

สำหรับ iOS และ iPadOS เวอร์ชันเก่า แอปเปิลจะอัพเดตเฉพาะแพตช์ความปลอดภัยเท่านั้น ซึ่งอัพเดตนี้แก้ไขช่องโหว่เคอร์เนลและ WebRTC รายการเดียวกับใน iOS 17.0.3 จึงแนะนำผู้ใช้งานให้อัพเดตโดยเร็ว

ที่มา: MacRumors

แอปเปิลออกอัพเดตซอฟต์แวร์ระบบปฏิบัติการในเครือวันนี้ ได้แก่ iOS 17.0.1 สำหรับ iPhone, iOS 17.0.2 สำหรับตระกูล iPhone 15, iPadOS 17.0.1 สำหรับ iPad, watchOS 10.0.1 สำหรับ Apple Watch, macOS Ventura 13.6 สำหรับ Mac ทั้งนี้ macOS เวอร์ชันใหม่ Sonoma จะออกอัพเดตทั่วไปในสัปดาห์หน้า

นอกจากนี้แอปเปิลยังอัพเดตระบบปฏิบัติการสำหรับอุปกรณ์รุ่นเก่า หรืออุปกรณ์ที่ยังไม่อัพเดตไประบบปฏิบัติการเวอร์ชันใหม่ด้วย ได้แก่ iOS 16.7, iPadOS 16.7, watchOS 9.6.3, macOS Monterey 12.7

แอปเปิลออกอัพเดตระบบปฏิบัติการให้กับอุปกรณ์รุ่นเก่า ที่ไม่สามารถอัพเดตเป็นซอฟต์แวร์เวอร์ชันล่าสุดได้ ทั้ง iOS, iPadOS และ macOS

โดยระบบปฏิบัติการที่อัพเดตได้แก่ iOS 15.7.9 สำหรับ iPhone, iPadOS 15.7.9 สำหรับ iPad, macOS Monterey‌‌ 12.6.9 และ macOS Big Sur 11.7.10 สำหรับ Mac ซึ่งสามารถอัพเดตตามวิธีการอัพเดตปกติ

อัพเดตนี้แอปเปิลระบุว่าแก้ไขช่องโหว่ความปลอดภัยของ ImageIO ที่มีรายงานว่าใช้ในสปายแวร์ Pegasus ซึ่งแอปเปิลได้อัพเดตไปก่อนหน้านี้ใน iOS 16.6.1, iPadOS 16.6.1, macOS Ventura 13.5.2 และ watchOS 9.6.2 จึงแนะนำให้อัพเดตทันที

แอปเปิลออกอัพเดตระบบปฏิบัติการของอุปกรณ์ได้แก่ iOS 16.6.1 สำหรับ iPhone, iPadOS 16.6.1 สำหรับ iPad, macOS Ventura 13.5.2 สำหรับ Mac และ watchOS 9.6.2 สำหรับ Apple Watch โดยสามารถอัพเดตได้ทันทีผ่านช่องทางเดิม

แอปเปิลระบุในรายละเอียดของอัพเดตว่าแก้ไขบั๊กและปรับปรุงความปลอดภัย โดยไม่ได้ให้ข้อมูลเพิ่มเติม อย่างไรก็ตามในหน้า Apple security ได้ให้รายละเอียดช่องโหว่ที่แก้ไขว่าเป็น ImageIO ซึ่งผู้โจมตีอาจใช้ไฟล์ที่ปรับแต่งในการเข้าถึงอุปกรณ์ได้

แอปเปิลยังบอกว่าช่องโหว่นี้อาจมีการโจมตีแล้ว จึงแนะนำให้ผู้ใช้งานอัพเดตทันที

แอปเปิลออกอัพเดตระบบปฏิบัติการในเครือ โดยมีทั้งการแก้ไขบั๊ก ปัญหาที่พบ ตลอดจนปิดช่องโหว่ความปลอดภัย รายละเอียดดังนี้

• iOS 16.6 และ iPadOS 16.6 แก้ไขบั๊ก และปรับปรุงความปลอดภัยหลายรายการ ทั้งส่วนเคอร์เนล, WebKit (รายละเอียด)
• macOS Ventura 13.5 แก้ไขบั๊ก ปรับปรุงความปลอดภัย และแก้ปัญหาดิสก์ SATA ไม่เชื่อมต่อใน Mac Pro
• watchOS 9.6 แก้ไขบั๊ก และปรับปรุงความปลอดภัย
• tvOS 16.6 เป็นการปรับปรุงทั่วไป

ไมโครซอฟท์ออกแพตช์ความปลอดภัย Patch Tuesday ของเดือนกรกฎาคม 2023 ซึ่งเดือนนี้มีการแก้ไขช่องโหว่ 123 รายการ มีรายงานช่องโหว่ระดับ Zero-Day ที่มีการเผยแพร่รายละเอียดแล้ว 6 รายการ เป็นช่องโหว่ที่สามารถโจมตีระยะไกลได้ (RCE) 37 รายการ จึงควรอัพเดตโดยเร็วที่สุด

อย่างไรก็ตามตามอัพเดตล่าสุดตอนนี้ ไมโครซอฟท์ยังไม่มีแพตช์แก้ไขช่องโหว่ Zero-Day อยู่ 1 รายการคือ CVE-2023-36884 โดยผู้โจมตีสามารถสร้างไฟล์ Microsoft Office ที่มีการออกแบบมาโดยเฉพาะให้โจมตีระยะไกลได้ ในตอนนี้ไมโครซอฟท์มีเฉพาะคำแนะนำป้องกันปัญหาเบื้องต้นเท่านั้น (ดูจากส่วน Mitigations ในลิงก์ข้างต้น)

แอปเปิลออกแพตช์ฉุกเฉิน Rapid Security Response (RSR) ใหม่ หลังจากที่แอปเปิลออกแพตช์ (a) เมื่อวันก่อน แล้วเกิดปัญหาค่า User-Agent เปลี่ยน จนทำให้ไม่สามารถเข้าหลายเว็บไซต์ใน Safari ได้ ซึ่งแอปเปิลใช้วิธีถอนแพตช์ออกไปก่อน

แพตช์ฉุกเฉินใหม่ที่ออกมาใช้ตัว (c) โดยสำหรับ iOS เป็นเวอร์ชัน 16.5.1 (c) และ macOS Ventura‌ เวอร์ชัน 13.4.1 (c) ผู้ใช้งานสามารถอัพเดตได้ตามขั้นตอน Software Update เป็นไฟล์ขนาดเล็กใช้เวลาไม่นานมาก

แอปเปิลระบุว่าในอัพเดตนี้ได้แก้ไขปัญหา Safari เข้าบางเว็บไซต์ไม่ได้ ตามที่มีรายงานก่อนหน้านี้

แอปเปิลเพิ่มอัพเดตแบบใหม่ เรียกว่า Rapid Security Responses สำหรับการอัพเดตเพื่ออุดช่องโหว่ที่มีการโจมตีแล้วเท่านั้น พร้อมกับปล่อยแพตช์ชุดแรกสำหรับ iOS, iPadOS, และ macOS มาพร้อมกัน

Rapid Security Responses จะมีอัพเดตให้กับผู้ใช้ที่อัพเดตระบบปฎิบัติการเป็นรุ่นล่าสุดแล้วเท่านั้น และเลขเวอร์ชั่นจะเป็นตัวอักษรเพื่อบ่งบอกว่าเป็นการอุดช่องโหว่อย่างเดียว เช่น แพตช์ที่ออกมาวันนี้จะอัพเดตเป็น iOS 16.5.1 (a), iPadOS 16.5.1 (a), และ macOS Ventura 13.4.1 (a) สำหรับแพตช์ชุดนี้แก้ช่องโหว่ใน WebKit ที่รายงานโดยนักวิจัยไม่ประสงค์ออกนามคนหนึ่ง

การตั้งค่าเริ่มต้นจะเปิดรับแพตช์ฉุกเฉินนี้ทั้งหมด และผู้ใช้สามารถปิดได้เอง ซึ่งจะทำให้อุปกรณ์รับแพตช์เฉพาะตามรอบปกติเท่านั้น

โครงการ Drupal ประกาศหยุดซัพพอร์ต Drupal 7 อย่างสมบูรณ์ในวันที่ 5 มกราคม 2025 หรือวันครบรอบ 14 ปี ที่ออกตัวจริง

เดิม Drupal 7 มีกำหนดหมดอายุซัพพอร์ตตั้งแต่ปลายปี 2022 แต่ก็เลื่อนมาเป็นปลายปี 2023 และประกาศเลื่อนครั้งนี้จะเป็นครั้งสุดท้าย ทำให้อายุซัพพอร์ตโดยรวมใกล้เคียงกับ Drupal 6 ที่เพิ่งหมดซัพพอร์ตสมบูรณ์ไปเมื่อปีที่แล้ว แต่ในกรณี Drupal 6 นั้นไม่มีซัพพอร์ตฟรีมาตั้งแต่ปี 2016 ทำให้ Drupal 7 เป็นซอฟต์แวร์ที่มีการซัพพอร์ตฟรียาวนานอย่างมาก

การซัพพอร์ตหลังจากนี้จะเป็นการซัพพอร์ตอย่างจำกัด โมดูลต่างๆ ที่เกี่ยวข้องจะแสดงว่าหมดซัพพอร์ตแล้ว, เวอร์ชั่นวินโดวส์จะไม่มีการซัพพอร์ตใดๆ อีก, ไม่สามารถดาวน์โหลดแพ็กเกจจากเว็บ Drupal.org ได้, และเลิกซัพพอร์ต PHP 5.5

แอปเปิลออกอัพเดต iTunes บน Windows เวอร์ชัน 12.12.9 ตั้งแต่วันที่ 23 พฤษภาคม ที่ผ่านมา โดยระบุว่าแก้ไขช่องโหว่ความปลอดภัยสองรายการคือ CVE-2023-32353 และ CVE-2023-32351

ล่าสุดบริษัทวิจัยความปลอดภัย Synopsys ซึ่งเป็นผู้รายงานช่องโหว่ CVE-2023-32353 เปิดเผยรายละเอียดการทำงานของช่องโหว่นี้ โดย iTunes จะสร้างโฟลเดอร์ชื่อ SC Info ใน C:\ProgramData\Apple Computer\iTunes มีสิทธิเข้าถึงระดับ system ผู้โจมตีสามารถลบโฟลเดอร์นี้ และสร้างลิงก์มาแทนเพื่อให้เข้าถึง system ของ Windows ได้นั่นเอง จึงแนะนำให้ผู้ใช้ iTunes เวอร์ชันเก่ากว่านี้อัพเดตทันที

แอปเปิลอัพเดตแพตช์ระบบปฏิบัติการแบบฉุกเฉินด้านความปลอดภัย (Rapid Security Response - RSR) มีผลกับผู้ใช้งาน iOS 16.4.1, iPadOS 16.4.1 และ macOS 13.3.1 ซึ่งเป็นการอัพเดตแบบ RSR ครั้งแรกหลังจากแอปเปิลประกาศการอัพเดตรูปแบบนี้ในงาน WWDC ปีที่แล้ว โดยแอปเปิลทดสอบการอัพเดต RSR มาระยะหนึ่งแล้วสำหรับเวอร์ชันเบต้าของนักพัฒนา

การอัพเดตของ iOS ทำได้ตามขั้นตอนเดิมโดยไปที่ Software Update ใน Settings แต่การอัพเดตจะใช้เวลาที่สั้นลง ดาวน์โหลดไฟล์ขนาดเล็ก หลังอัพเดตเครื่องใช้เวลาน้อยลงในช่วงรีสตาร์ท ส่วน macOS อัพเดตได้ผ่าน System Settings

ไมโครซอฟท์ออกแพตช์ความปลอดภัย Patch Tuesday ของเดือนเมษายน 2023 โดยมีรายการสำคัญ เป็นการแก้ไขช่องโหว่ระดับ Zero-Day ที่มีการเปิดเผยรายละเอียดแล้ว 1 รายการ และแก้ไขช่องโหว่อื่นอีก 97 รายการ จึงควรอัพเดตโดยเร็วที่สุด

ในรายการอัพเดตนี้มีแพตช์ช่องโหว่ระดับรุนแรง (Critical) อยู่ 7 รายการ มีผลกับ Microsoft Message Queuing, Windows DHCP Server, Windows Layer 2 Tunneling Protocol, Windows Point-to-Point Tunneling Protocol และ Windows Raw Image Extension ส่วนช่องโหว่ Zero-Day CVE-2023-28252 แก้ไขปัญหาไดรฟ์เวอร์ Windows CLFS ที่ทำให้เข้าถึงสิทธิระดับ SYSTEM ได้ จึงควรอัพเดตโดยเฉพาะผู้ใช้ Microsoft Office

ไมโครซอฟท์ออกแพตช์อุดช่องโหว่ระดับร้ายแรงของ Outlook for Windows ซึ่งพบการโจมตีโดยแก๊งแฮ็กเกอร์สัญชาติรัสเซียมาตั้งแต่ปี 2022

ช่องโหว่ตัวนี้ใช้รหัส CVE-2023-23397 แฮ็กเกอร์สามารถส่งข้อความที่มีค่าพิเศษตัวหนึ่งที่เกี่ยวข้องกับเซิร์ฟเวอร์แชร์ไฟล์ SMB เข้ามายังไคลเอนต์ Outlook เพื่อเข้าถึงสิทธิ (elevation of privilege หรือ EoP) ได้โดยที่ผู้ใช้ไม่ต้องกดอะไรเลย แฮ็กเกอร์จะได้ล็อกอิน new technology LAN manager (NTLM) ไปใช้ผ่านเข้าระบบอื่นๆ ที่รองรับ NTLM ต่อไป

นอกจากอัพเดตระบบปฏิบัติการเวอร์ชันล่าสุด iOS 16.3 และ macOS Ventura 13.2 แอปเปิลยังออกอัพเดตความปลอดภัยให้กับ iOS และ macOS เวอร์ชันเก่า สำหรับอุปกรณ์ที่ไม่สามารถอัพเดตมาเป็นเวอร์ชันล่าสุดได้ด้วย มีรายละเอียดดังนี้

เมื่อคืนนี้ ไมโครซอฟท์ออกแพตช์ความปลอดภัย Patch Tuesday รอบเดือนพฤศจิกายน 2022 มีแพตช์สำคัญ 4 ตัวของ Windows และ 2 ตัวของ Exchange Server ที่ควรอัพเดตกันด่วน เนื่องจากพบการโจมตีช่องโหว่เหล่านี้แล้ว

ช่องโหว่ 4 ตัวของ Windows กระจายกันไปหลายด้าน เช่น Windows Scripting Languages, Web Security, Print Spooler, CNG Key Isolation กระทบกับ Windows ทุกเวอร์ชัน (ที่ยังอยู่ในระยะซัพพอร์ตคือ 10, 11 และ Windows Server 2016, 2019, 2022) ส่วนช่องโหว่ของ Microsoft Exchange กระทบตั้งแต่เวอร์ชัน 2013, 2016, 2019

ช่องโหว่ทั้งหมดของรอบนี้มี 68 ตัว ครอบคลุมผลิตภัณฑ์หลากหลาย เช่น .NET, Azure, Dynamics, Office, Visual Studio รวมถึงเคอร์เนลลินุกซ์ที่ใช้ใน WSL2 ด้วย

ไมโครซอฟท์ออกแพตช์ความปลอดภัย Patch Tuesday ประจำรอบเดือนสิงหาคม 2022 มีช่องโหว่ความปลอดภัยสำคัญคือ CVE-2022-34713 ที่มีชื่อเล่นว่า DogWalk ความร้ายแรงระดับสูง (high severity) และพบการใช้โจมตีจริงแล้ว

ช่องโหว่นี้เกี่ยวกับเครื่องมือ Windows Support Diagnostic Tool (MSDT) ที่ไมโครซอฟท์ใช้ซัพพอร์ตลูกค้า โดยผู้โจมตีสามารถรันโค้ดในระบบปฏิบัติการได้ โดยต้องอาศัยการส่งไฟล์หลอกให้ผู้ใช้กดก่อนผ่านเทคนิค phishing แบบต่างๆ เช่น อีเมลหรือส่งลิงก์

Windows รุ่นที่ได้รับผลกระทบมีตั้งแต่ 7, 8.1, 10, 11, Server 2008 R2, 2012, 2012 R2, 2016, 2019, 2022 เรียกว่าโดนครบถ้วนหน้าเสมอภาคกัน

ไมโครซอฟท์ออกอัพเดตประจำเดือนมิถุนายน 2022 มีรายการสำคัญคือการแก้ไขช่องโหว่ความปลอดภัย CVE-2022-30190 ที่เรียกว่า Follina อาศัยช่องโหว่ใน MSDT ฝังมาในเอกสาร Word ที่มีรายงานเมื่อเดือนที่แล้ว มีการโจมตีแล้ว แต่ยังไม่มีแพตช์

อัพเดตที่แก้ไขช่องโหว่นี้ครอบคลุมทั้ง Windows 10 (KB5014699) และ Windows 11 (KB5014697) โดยไมโครซอฟท์แนะนำให้ลูกค้าอัพเดตทันทีเพื่อป้องกันปัญหาที่อาจเกิดขึ้น

ที่มา: The Verge

Lenovo ออกอัพเดตเฟิร์มแวร์ UEFI/BIOS ให้กับโน้ตบุ๊กสายคอนซูเมอร์จำนวนมากกว่า 100 รุ่นย่อย หลังพบช่องโหว่ความปลอดภัย

ช่องโหว่นี้ถูกค้นพบโดยบริษัทความปลอดภัย ESET มีด้วยกันทั้งหมด 3 ตัว โดย 2 ตัวแรกเป็นช่องทางพิเศษที่ใช้สำหรับตอนผลิตโน้ตบุ๊ก แต่กลับไม่ได้ถูกปิดในเฟิร์มแวร์เวอร์ชันใช้งานจริง และอาจถูกแฮ็กเกอร์ใช้เป็นช่องทางฝั่งมัลแวร์ในเฟิร์มแวร์ได้

ESET ค้นพบช่องโหว่นี้และแจ้งไปยัง Lenovo ตั้งแต่เดือนตุลาคม 2021 และทั้งสองบริษัทประกาศข้อมูลช่องโหว่ต่อสาธารณะในสัปดาห์ที่ผ่านมา

ออราเคิลปล่อยอัพเดตตามรอบปกติเดือนเมษายน มีการแก้ไขช่องโหว่ในซอฟต์แวร์จำนวนมากนับร้อยรายการ แต่ช่องโหว่หนึ่งที่กระทบคนจำนวนมากและค่อนข้างร้ายแรง คือ CVE-2022-21449 เป็นบั๊กการตรวจสอบลายเซ็นดิจิทัลแบบ EDSDA ทำให้คนร้ายสามารถปลอมลายเซ็นและเซิร์ฟเวอร์ตรวจสอบไม่ได้

กระบวนการเซ็นลายเซ็นดิจิทัลแบบ ECDSA ได้รับความนิยมสูงมากในช่วงหลังเพราะมีขนาดลายเซ็นเล็ก มีการใช้งานเป็นวงกว้าง เช่น JWT สำหรับการล็อกอินเว็บ, SAML/OIDC สำหรับการล็อกอินแบบ single sign-on, และ WebAuthn สำหรับการล็อกอินแบบหลายขั้นตอนหรือการล็อกอินแบบไร้รหัสผ่าน หากเว็บใดใช้การล็อกอินเพื่อตรวจสอบลายเซ็นเช่นนี้ก็เสี่ยงจะถูกแฮกเกอร์ปลอมตัวเป็นผู้ใช้สิทธิ์ระดับสูงได้

ไมโครซอฟท์ออกแพตช์ความปลอดภัยของเดือนเมษายน 2022 หรือ Patch Tuesday แก้ไขช่องโหว่ทั้งหมด 128 รายการ โดยมีผลิตภัณฑ์ที่ได้รับผลกระทบครอบคลุมทั้ง Windows, Office, Dynamics, Edge, Hyper-V, File Server, Skype for Business และ Windows SMB มี 10 รายการที่ระบุว่าเป็นช่องโหว่ระดับร้ายแรง (Critical)

มีช่องโหว่ 2 รายการที่เป็นช่องโหว่ Zero-Day ซึ่งได้รับการแก้ไขแล้ว คือ CVE-2022-26904 และ CVE-2022-24521 ที่เป็นช่องโหว่ของ EoP ใน Windows User Profile Service และ Windows Common Log File System Driver

VMware ออกรายงานเกี่ยวกับช่องโหว่ Spring4Shell ของผลิตภัณฑ์ในกลุ่ม Tanzu โดยทางบริษัทยืนยันว่ามีผลิตภัณฑ์ได้รับผลกระทบจริง

สำหรับผลิตภัณฑ์ในกลุ่ม Tanzu ที่ได้รับผลกระทบคือ VMware Tanzu Application Service for VMs, VMware Tanzu Operations Manager และ VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) ซึ่งทางบริษัทยืนยันว่าถ้าสามารถเข้าถึงผลิตภัณฑ์ที่ได้รับผลกระทบของ VMware ก็สามารถเข้าควบคุมระบบเป้าหมายได้

ช่องโหว่ Spring4Shell (CVE-2022-22965) เป็นช่องโหว่บน Spring Framework ซึ่งเป็นเฟรมเวิร์คยอดนิยมของ Java ที่ยึดเครื่องได้โดยการเปิดทางผ่าาน HTTP request โดยช่องโหว่นี้กำหนดความร้ายแรงไว้ที่ 9.8

Spring Framework ออกแพตช์เวอร์ชั่น 5.3.18 และ 5.2.20 เป็นแพตช์ฉุกเฉินหลังเมื่อวานนี้มีโค้ดตัวอย่างสำหรับโจมตีเซิร์ฟเวอร์ที่รันเฟรมเวิร์คหลุดออกมา เปิดทางให้แฮกเกอร์สามารถรันโค้ดบนเครื่องของเหยื่อได้

ช่องโหว่ CVE-2022-22965 หรือ Spring4Shell อาศัยกระบวนการ RequestMapping ที่แปลงสตริงเป็นออปเจกต์ คนร้ายสามารถส่ง HTTP request ที่กระตุ้นให้เซิร์ฟเวอร์ Tomcat ที่รันแอป Spring อยู่รัน webshell เปิดทางให้แฮกเกอร์เข้ายึดเครื่องได้