「TERASOLUNA Global Framework」などの旧版に脆弱性

NTTデータが提供するフレームワーク「TERASOLUNA Global Framework」「TERASOLUNA Server Framework for Java（Rich版）」の旧版にリモートよりコードの実行が可能となる脆弱性が明らかとなった。

2013年にリリースした「TERASOLUNA Global Framework 1.0.0（Public Review版）」や、2014年にリリースされた「TERASOLUNA Server Framework for Java（Rich版）2.0.5.1」以下のバージョンに脆弱性「CVE-2022-43484」が明らかとなったもの。ベースとなる「Spring Framework」が「同3.2.6」よりも古いことに起因するという。

「Spring4Shell」としても知られる「CVE-2022-22965」と同様、「ClassLoader」の操作が可能となる脆弱性としており、細工したデータを処理するとリモートよりコードを実行されるおそれがある。

JPCERTコーディネーションセンターでは、共通脆弱性評価システム「CVSSv3.0」におけるベーススコアを「9.8」と評価している。

NTTデータでは、脆弱性の周知を目的に情報処理推進機構（IPA）へ報告。JPCERT/CCが調整を実施した。フレームワークをバージョンアップするか、回避策を講じるよう呼びかけられている。

（Security NEXT - 2022/11/16 ） ツイート

PR

関連記事

ランサム被害でシステム障害、グループ各社に影響 - テイン
公開PDF資料に個人情報、県注意喚起きっかけに判明 - 菊池市
小学校で個人票を誤配布、マニュアルの認識不十分で - 大阪市
ファイル転送ソフト「MOVEit Transfer」にDoS脆弱性 - 修正版公開
ネット印刷サービスにサイバー攻撃、個人情報流出か - ウイルコHD子会社
英国ブランド通販サイト、約3年間にわたりクレカ情報流出の可能性
「VMware Tools」「Aria Operations」既知脆弱性、悪用事例の報告
ランサム攻撃者が犯行声明、事実関係を確認中 - アスクル
ペット保険システムから契約者情報など流出した可能性 - アクサ損保
米当局、「XWiki Platform」「Aria Operations」脆弱性を悪用リストに追加