JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月26日、「JVNVU#96405576: Spring SecurityのRegexRequestMatcherにおける認証回避の脆弱性」において、VMwareが提供するSpring SecurityのRegexRequestMatcherに脆弱性が存在すると伝えた。
この脆弱性を悪用されると認証を回避される危険性があるとされている。脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Spring Security 5.5.7より前の5.5系バージョン
- Spring Security 5.6.4より前の5.6系バージョン
なお、すでにサポートが終了している上記のプロダクトよりも前のバージョンにもこの脆弱性が存在するとされており注意が必要。
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Spring Security 5.5.7
- Spring Security 5.6.4
- Spring Security 5.7