「Spring Framework」にパストラバーサルの脆弱性
ウェブアプリケーションフレームワーク「Spring Framework」にあらたな脆弱性が明らかとなった。
現地時間9月12日にセキュリティアドバイザリを公開し、パストラバーサルの脆弱性「CVE-2024-38816」について明らかにしたもの。細工したHTTPリクエストにより、任意のファイルを取得されるおそれがある。
「RouterFunctions」を使って静的リソースを提供している場合や、「FileSystemResource」を利用してリソースハンドリングを設定しているアプリケーションが脆弱性の影響を受けるという。
共通脆弱性評価システム「CVSSv3.1」のベーススコアを「7.5」、重要度を4段階中、上から2番目にあたる「高(High)」とレーティングした。
開発グループでは、脆弱性を修正した「同6.1.13」をリリースしており、早急にアップデートするよう呼びかけた。またエンタープライズサポートの利用者向けに「同6.0.24」「同5.3.40」を提供している。
なお「Spring Security」の「HTTP Firewall」を利用している場合や、アプリケーションを「Apache Tomcat」や「Jetty」上で稼働させている場合は、同脆弱性の影響を受けないとしている。
(Security NEXT - 2024/09/13 )
ツイート
PR
関連記事
コラボツール「Zimbra」に深刻な脆弱性 - すでに実証コードも
「Cisco NDFC」に深刻な脆弱性 - 管理下の機器でコマンド実行のおそれ
Ivanti製エンドポイント管理製品の脆弱性、悪用が判明
詐欺対策に特化したスマホアプリを提供 - トレンドマイクロ
海外子会社のサーバにサイバー攻撃 - 双日
後期高齢者保険料の還付通知書に別人の請求書 - 湖西市
生産管理システムや基幹システムがランサム被害 - ZACROS
Pマークのオンライン申請を受付開始 - JIPDEC
「Chrome」にセキュリティアップデート - 4件の修正を実施
複数国連携で「LockBit」の開発者など逮捕 - 防弾ホスティング関係者も