「Spring Security」に複数の脆弱性 - アップデートにて修正

認証やアクセス制御機能を提供するフレームワーク「Spring Security」に複数の脆弱性が明らかとなった。アップデートが呼びかけられている。

特定の条件下で「forward」あるいは「include」のディスパッチャーを通じて認可ルールのバイパスが可能となる「CVE-2022-31692」が明らかとなったもの。

またoauth2クライアントにおいて認証サーバに送信したリクエストを変更し、権限の昇格が可能となる脆弱性「CVE-2022-31690」が明らかとなった。VMwareでは、いずれも重要度を「高（High）」とレーティングしている。

一方、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では共通脆弱性評価システム「CVSSv3.1」において「CVE-2022-31692」のベーススコアを「9.8」、「CVE-2022-31690」を「8.1」と評価。重要度をそれぞれ「クリティカル（Critical）」、「高（High）」とレーティングしている。

VMwareでは、「同5.7.5」「同5.6.9」にて脆弱性を解消。「同5.7」「同5.6」の利用者へアップデートを呼びかけており、アップデートできない場合は緩和策を講じるよう求めている。

（Security NEXT - 2022/11/15 ） ツイート

PR

関連記事

「MS Edge」にアップデート - 「クリティカル」脆弱性を解消
「Cisco IOS XR」にDoSや署名バイパスの脆弱性 - 修正版リリース
「Zoom Workplace」に複数の脆弱性 - 最新版で修正済み
工場向けMOMシステム「DELMIA Apriso」脆弱性 - 米当局が悪用に注意喚起
Ivantiのエンドポイント管理やリモートアクセス製品に脆弱性
デバッグ支援ツール「NVIDIA NVDebug tool」に複数の脆弱性
ネットワーク監視ツール「Stork」に脆弱性 - DoS攻撃のおそれ
GitLab、バグ報奨金プログラムで報告された脆弱性6件を解消
「Adobe Commerce」「Magento」に深刻な脆弱性 - Adobeと外部で温度差
MS、月例セキュリティ更新80件を公開 - 「緊急」8件などに対応