...
- Cette vulnérabilité peut impacter les applications spring déployées un en jdk 9 ou supérieur, notamment avec un Tomcat (externe)
- la version 5.3.18 de spring a pour objet de combler la faille.
...
L'exploitation de la faille telle que proposée dans les scripts POC consiste à :
- identifier une url (avec mappage d'objet) comme vulnérable
- envoyer des paramètres pouvant provoquer l'écriture sur le serveur d'application d'un fichier
- ce fichier peut correspondre à une jsp qui peut permettre d'exécuter un code arbitraire sur le serveur.
...