CodeZine(コードジン)

特集ページ一覧

Javaフレームワーク「Spring」の「Cloud Function」に脆弱性、未確認のさらなる脆弱性についても指摘が

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2022/04/01 08:00

 Javaアプリケーションフレームワーク「Spring」の、サーバーレス実行環境「Spring Cloud Function」における脆弱性が報告された。また、この他に「Spring Framework」のコアにも深刻とされる脆弱性の存在が指摘されているが、日本時間3月31日時点では未確認。

 今回報告された脆弱性(CVE-2022-22963)では、Spring Cloud Functionのバージョン3.1.6と3.2.2、およびそれ以前のサポートされていない古いバージョンにおいて、ルーティング機能を使用している場合、特別に細工された「SpEL」によって、ローカルリソースへのアクセスを許してしまう可能性がある。脆弱性の影響は「中程度」。

 既にこれに対応したバージョン3.1.7と3.2.3がリリースされており、更新が推奨されている。

 また、Spring Frameworkのコアにも、リモートコード実行を可能にする脆弱性の存在が指摘されているが、現時点(日本時間3月31日)では調査中であり、有識者による報告が待たれる。

関連リンク

  • LINEで送る
  • このエントリーをはてなブックマークに追加

あなたにオススメ

All contents copyright © 2005-2022 Shoeisha Co., Ltd. All rights reserved. ver.1.5