Konica Minolta ha tenido noticia de dos vulnerabilidades críticas del más alto riesgo que afectan a determinadas aplicaciones y servicios.
Las amenazas son las vulnerabilidades de ejecución remota de código Spring4Shell – Spring Core RCE (CVE-2022-22965) y Spring Cloud Function RCE (CVE- 2022-22963).
CVE-2022-22965 (Spring4Shell) se encuentra en el Spring Core Framework y fue observada y confirmada a finales de marzo de 2022. Spring Framework es un framework de aplicaciones de código abierto utilizado para el desarrollo de aplicaciones basadas en Java, esencialmente para ayudar a los desarrolladores a construir más rápidamente sus aplicaciones. Si es explotada, esta vulnerabilidad puede habilitar ataques de ejecución remota de código (RCE, Remote Code Execution), pero parece estar ahora mismo en la etapa de pruebas para implementaciones específicas de Spring Framework.
CVE-2022-22963 (Spring Cloud Function RCE) también se observó y confirmó a finales de marzo de 2022 y afecta a Spring Cloud Function versión 3.1.6, 3.2.2 y las versiones soportadas más antiguas. Cuando se utiliza la funcionalidad de routing, es posible que un usuario proporcione un SpEL especialmente creado como expresión de enrutado que puede dar como resultado una ejecución remota de código y acceso a los recursos locales.
Como todavía es una etapa temprana de ambas vulnerabilidades, aún no tenemos una lista de aplicaciones/productos afectados de Konica Minolta. Estamos actualmente evaluando qué versiones de qué aplicaciones ofrecidas están afectadas y, si es el caso, cómo poner remedio a la vulnerabilidad.
Para Konica Minolta, la seguridad de nuestros dispositivos, aplicaciones y servicios es del mayor interés. Estamos trabajando en la resolución de este tema con la más alta prioridad y velocidad y ofreceremos actualizaciones regulares.