JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は4月10日、「Spring Framework の脆弱性に関する注意喚起」において、Spring Frameworkに複数の脆弱性が存在すると伝えた。この脆弱性を悪用されると、アプリケーションサーバの実行権限で遠隔から任意のOSコマンドが実行される危険性があるという。
脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。
- Spring Framework 5.0から5.0.4までのバージョン
- Spring Framework 4.3から4.3.15までのバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Spring Framework 5.0.5
- Spring Framework 4.3.16
-
Spring Framework 5.0.5 and 4.3.15 available now -
JPCERT/CCはこの脆弱性を悪用したWebアプリケーションの実証コードを確認したとしており、遠隔から任意のOSコマンドが実行可能であるという。該当するプロダクトを使用している場合は、十分なテストを実施した上で修正されたバージョンへアップデートすることが推奨されている。
