VMware、Spring Frameworkに深刻な脆弱性「CVE-2022-22965」　修正は公開済み

VMwareは3月31日にJavaアプリケーションフレームワーク「Spring Framework」に脆弱性「CVE-2022-22965」が存在すると発表した。悪用された場合、第三者によるリモートコードが実行される可能性がある。これらは通称「Spring4Shell」または「SpringShell」と呼ばれているという。脆弱性の深刻度は「Critical」。共通脆弱性評価システムCVSS v3のスコアは「9.8」（VMware、JPCERT/CC、INTERNET Watch、Security NEXT）。

脆弱性の対象となる Spring Framework のバージョンはSpring Framework versions 5.3.0から5.3.17、同じく5.2.0から5.2.19となっている。また攻撃を成功させるためには、JDK 9以上を使用している、pache Tomcatをサーブレットコンテナとして使用している、WAR形式でデプロイされている、プログラムがspring-webmvcあるいはspring-webfluxに依存しているなどの条件が揃う必要があるという。VMwareでは脆弱性に対処した「Spring Framework 5.3.18」「同5.2.20」を公開した。JPCERT/CCは、十分なテストを実施の上で適用するよう促している。

またこの直前となる29日にSpring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンで、ルーティング機能を有効にしている場合に細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性「CVE-2022-22963」があるとのことも報告されている（Vmware、ZDNet）。　

スラドのコメントを読む | セキュリティセクション | セキュリティ | バグ | Java | IT

　関連ストーリー：
zlib に 17 年前から存在し、4 年前から放置されていた脆弱性が修正される 2022年04月04日
Chromeがついにバージョン100に到達 2022年03月31日
ホンダ・シビックのキーレスシステムを乗っ取り可能な脆弱性 2022年03月28日