Vulnerabilidad en VMware (CVE-2025-22233)

La CVE-2024-38820 garantizó la conversión a minúsculas, independiente de la configuración regional, tanto para los patrones de disallowedFields configurados como para los nombres de los parámetros de solicitud. Sin embargo, aún existen casos en los que es posible omitir las comprobaciones de disallowedFields. Productos y versiones de Spring afectados: Spring Framework: * 6.2.0 - 6.2.6 * 6.1.0 - 6.1.19 * 6.0.0 - 6.0.27 * 5.3.0 - 5.3.42 * Las versiones anteriores sin soporte también se ven afectadas. Mitigación: Los usuarios de las versiones afectadas deben actualizar a la versión corregida correspondiente. Versión(s) afectada(s) Versión de corrección Disponibilidad 6.2.x 6.2.7 OSS6.1.x 6.1.20 OSS6.0.x 6.0.28 Comercial https://enterprise.spring.io/ 5.3.x 5.3.43 Comercial https://enterprise.spring.io/ No se necesitan más medidas de mitigación. En general, recomendamos usar un objeto de modelo dedicado con propiedades solo para el enlace de datos o usar el enlace del constructor, ya que los argumentos del constructor declaran explícitamente qué enlazar junto con la desactivación del enlace del establecedor a través del indicador declarativeBinding. Consulte la sección Diseño del modelo en la documentación de referencia. Para el enlace de configuración, prefiera el uso de allowedFields (una lista explícita) en lugar de disallowedFields. Crédito Este problema fue reportado responsablemente por el equipo de desarrollo del marco TERASOLUNA de NTT DATA Group Corporation.