Spring Framework < 5.2.20 / 5.3.x < 5.3.18 リモートコード実行 (CVE-2022-22965)

critical Nessus プラグイン ID 159374

概要

リモートホストに、リモートでコードが実行される脆弱性の影響を受ける Web アプリケーションフレームワークライブラリが含まれています。

説明

リモートホストには、5.2.20 より前のバージョン、または 5.3.18より前の 5.3.xのバージョンの Spring Framework ライブラリがあります。したがって、以下のリモートコード実行の脆弱性の影響を受けます。

- JDK 9+ で実行されている Spring MVC または Spring WebFlux アプリケーションは、データバインディングを介したリモートコード実行 (RCE) に対して脆弱である可能性があります。特定の悪用には、WAR 展開としてアプリケーションを Tomcat で実行する必要があります。アプリケーションが Spring Boot 実行可能 jar (デフォルト) として展開されている場合、この脆弱性は悪用されません。ただし、この脆弱性の性質はより一般的であり、他の方法で悪用される可能性があります。

- これらは悪用の前提条件です:
- JDK 9 以降
- Servlet コンテナとしての Apache Tomcat
- WAR としてパッケージ化
- spring-webmvc または spring-webflux の依存関係

注意: このプラグインをスキャンで有効にするには、ユーザーはスキャンポリシーで「Show potential false alarms」設定 (パラノイドモードとも呼ばれる) を有効にする必要があります。ご注意ください。さらに、「Perform thorough tests」設定も有効にする必要があります。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っていることに注意してください。

ソリューション

Spring Frameworkバージョン5.2.20または5.3.18以降にアップグレードしてください。

関連情報

https://tanzu.vmware.com/security/cve-2022-22965

http://www.nessus.org/u?718f9ac3

http://www.nessus.org/u?2401ae46

プラグインの詳細

深刻度: Critical

ID: 159374

ファイル名: spring_CVE-2022-22965_local.nasl

バージョン: 1.9

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2022/3/31

更新日: 2022/5/11

構成: パラノイドモードの有効化, 徹底的なチェックを有効にする

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: Critical

スコア: 9.6

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 6.5

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

現状ベクトル: E:H/RL:OF/RC:C

CVSS スコアのソース: CVE-2022-22965

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 9.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:H/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:pivotal_software:spring_framework, cpe:/a:vmware:spring_framework

必要な KB アイテム: installed_sw/Spring Framework, installed_sw/Apache Tomcat, installed_sw/Java, Settings/ParanoidReport

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2022/3/31

脆弱性公開日: 2022/3/31

CISAの既知の悪用日: 2022/4/25

エクスプロイト可能

Metasploit (Spring Framework Class property RCE (Spring4Shell))

参照情報

CVE: CVE-2022-22965