Quarkus

Udviklere er blevet advaret om, at den populære Quarkus-ramme er påvirket af en kritisk sårbarhed, der kan føre til fjernafvikling af kode.

Det skriver Infosecurity Magazine m.fl.

Quarkus er en open source Kubernetes-native Java-ramme designet til GraalVM og HotSpot virtuelle maskiner. Fejlen har id’et CVE-2022-4116 (CVSS-score på 9,8) og er blevet identificeret i Dev UI Config Editor. Den er ifølge researcheren bag fundet, Joseph Beeton fra Contrast Security, ikke svær at udnytte vha. et drive-by localhost-angreb af en ondsindet aktør uden nogen privilegier.