「Spring Core」にゼロデイ脆弱性「Spring4Shell」の指摘

Rapid7によれば、今回指摘された脆弱性は、インストール直後の環境では悪用できないとしており、アプリケーションが利用する機能に依存すると説明。

同社では、「Spring Framework 5.3.15」から「同4.3.0」の環境においてPoCが動作することを確認したが、脆弱性が依存するアプリケーションの機能は明らかになっていないという。

脆弱性への一時的な緩和策として、ソースコードを変更してフィールドを保護することや、ウェブアプリケーションファイアウォール（WAF）によるアプリケーションの保護、異常な挙動の監視などを挙げている。

また同脆弱性については、同時期に公開された「Spring Cloud Function」の脆弱性「CVE-2022-22963」と混同されるなど、混乱も生じているという。「CVE-2022-22963」については脆弱性を修正するアップデートがリリースされている。

（Security NEXT - 2022/03/31 ） ツイート

PR

関連記事

NECのルータ製品「Aterm」シリーズに脆弱性 - 11製品に影響
「Apache Fory」Python向け実装に脆弱性 - 修正版を提供
「Drupal」のSQLi脆弱性、悪用確認で米当局が対策呼びかけ
「PAN-OS」の認証回避脆弱性、詳細公開で悪用懸念高まる
HPのLinux向け印刷ソフトに深刻な脆弱性 - アップデートを呼びかけ
「Unbound」に深刻な脆弱性 - コード実行やキャッシュ汚染などのおそれ
PHP向けテンプレートエンジン「Twig」にRCE脆弱性
米当局、「Langflow」や「Apex One」の脆弱性悪用に注意喚起
Android版「ロボフォーム」に脆弱性 - 意図しないファイルDLのおそれ
米当局、脆弱性悪用確認リストに7件追加 - IEなど旧製品関連も