Розробники та DevOps-інженери отримали термінове попередження про виявлення критичної вразливості в екосистемі Java, яку вже порівнюють за масштабом із сумнозвісним Log4j. Вразливість, названа “JarHollow”, міститься в популярному інструменті для розпакування та обробки .jar файлів, який використовується мільйонами корпоративних додатків. Вона дозволяє зловмисникам створювати спеціально сформовані архіви, які при обробці сервером дозволяють виконати довільний код і отримати контроль над системою.

Особлива небезпека полягає в тому, що цей компонент часто “зашитий” глибоко в залежностях (dependencies), і розробники можуть навіть не знати, що їхній проєкт використовує вразливу бібліотеку. Атаки вже почалися: хакери сканують інтернет на наявність вразливих серверів. Компаніям рекомендовано негайно використати сканери композиційного аналізу (SCA) для виявлення вразливих версій та застосувати патчі або тимчасові фільтри на рівні брандмауерів веб-додатків (WAF).