APIゲートウェイ「Apache ShenYu」に深刻な脆弱性
Apache Software FoundationのインキュベーターであるAPIゲートウェイ「Apache ShenYu」に深刻な脆弱性が明らかとなった。
「Apache ShenYu」は、複数の言語やプロトコルに対応し、プラグインによる拡張やクラスターの展開にも対応したAPIゲートウェイ。
「同2.4.1」「同2.4.0」に、「Groovy」のコードや「Spring Expression Language(SpEL)」を挿入し、リモートよりコードの実行が可能となるコードインジェクションの脆弱性「CVE-2021-45029」が明らかとなったもの。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」。重要度は「クリティカル(Critical)」とレーティングされている。
1月25日にアップデートとなる「同2.4.2」をリリース。機能強化やバグ修正のほか、「SpEL」「Groovy」プラグインの削除などリファクタリングを実施しており、同脆弱性の影響は受けないとしている。
(Security NEXT - 2022/02/02 )
ツイート
PR
関連記事
「PAN-OS」脆弱性の詳細や悪用コードが公開済み - 攻撃拡大のおそれ
「PAN-OS」脆弱性、攻撃条件を修正 - 一部緩和策が「効果なし」に
Oracle、「Java SE」に関する脆弱性13件を修正
Oracle、四半期定例パッチを公開 - のべ441件の脆弱性に対応
WordPress向けプラグイン「InstaWP Connect」に脆弱性
Windows環境下の複数開発言語に脆弱性「BatBadBut」が判明
「Microsoft Edge」にアップデート - 「Chromium」の脆弱性修正を反映
「PHP」に複数の脆弱性 - セキュリティアップデートで修正
「GitLab」にセキュリティアップデート - 脆弱性4件を解消
「PAN-OS」のアップデートが公開 - 旧版にも順次提供予定