「Spring Core」にゼロデイ脆弱性「Spring4Shell」の指摘
「Spring Framework」のコアモジュールにリモートよりコードの実行が可能となるゼロデイ脆弱性「Spring4Shell」の指摘が出ている。実証コードも公開されているがアプリケーションに依存するもので、脆弱性の詳細は明らかになっていない。
同フレームワークで特定のアプリケーションを利用している場合に、「Spring Core」においてコードの実行が可能となる脆弱性が指摘されているもの。
セキュリティ研究者よりGitHubへ一時的に概念実証コード(PoC)が投稿されたことから脆弱性が明らかとなった。
開発チームより脆弱性に関するアナウンスなどは行われておらず、パッチの提供やCVE番号の付番なども行われていない。
一部で脆弱性の影響を懸念する声があがり、「Apache Log4j」に明らかとなった深刻な脆弱性「Log4Shell」を想起させる「Spring4Shell」と命名されている。
(Security NEXT - 2022/03/31 )
ツイート
関連リンク
PR
関連記事
コンテナ管理プラットフォーム「Rancher」に深刻な脆弱性
macOS向けアップデート - 複数脆弱性を修正
狙われる「Telerik UI for ASP.NET AJAX」の既知脆弱性
「BIND 9」にサービス拒否の脆弱性 - アップデートが公開
「Chrome」にセキュリティアップデート - 複数脆弱性を修正
WordPress向けショッピングカートプラグインに脆弱性 - 任意のファイルを閲覧されるおそれ
VMwareのログ管理ツールに複数の深刻なRCE脆弱性
米政府、「ManageEngine」の脆弱性に対する攻撃に注意喚起
「GitHub Enterprise Server 3.7.4」が公開 - Gitの脆弱性に対処
Apple、アップデート「iOS 16.3」などを公開 - 複数脆弱性を修正