「Spring Security」に複数の脆弱性 - アップデートにて修正

認証やアクセス制御機能を提供するフレームワーク「Spring Security」に複数の脆弱性が明らかとなった。アップデートが呼びかけられている。

特定の条件下で「forward」あるいは「include」のディスパッチャーを通じて認可ルールのバイパスが可能となる「CVE-2022-31692」が明らかとなったもの。

またoauth2クライアントにおいて認証サーバに送信したリクエストを変更し、権限の昇格が可能となる脆弱性「CVE-2022-31690」が明らかとなった。VMwareでは、いずれも重要度を「高（High）」とレーティングしている。

一方、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では共通脆弱性評価システム「CVSSv3.1」において「CVE-2022-31692」のベーススコアを「9.8」、「CVE-2022-31690」を「8.1」と評価。重要度をそれぞれ「クリティカル（Critical）」、「高（High）」とレーティングしている。

VMwareでは、「同5.7.5」「同5.6.9」にて脆弱性を解消。「同5.7」「同5.6」の利用者へアップデートを呼びかけており、アップデートできない場合は緩和策を講じるよう求めている。

（Security NEXT - 2022/11/15 ） ツイート

PR

関連記事

サードパーティ製ソフトに起因する脆弱性7件を修正 - Atlassian
「MS Edge 124」がリリース、脆弱性17件を修正
「PAN-OS」脆弱性への攻撃、国内でも被害報告
「ClamAV」にクリティカルパッチ - サービス拒否の脆弱性など修正
「PAN-OS」のアップデートが公開 - 旧版にも順次提供予定
「PAN-OS」脆弱性、攻撃条件を修正 - 一部緩和策が「効果なし」に
「PAN-OS」脆弱性に対する攻撃が増加 - コマンドで悪用試行を確認可能
「PAN-OS」脆弱性の詳細や悪用コードが公開済み - 攻撃拡大のおそれ
WP向けメールマーケティングプラグインにSQLi脆弱性
HashiCorpのGo言語向けライブラリ「go-getter」に脆弱性