Spring Framework < 5.2.20 / 5.3.x < 5.3.18 リモートコード実行 (Spring4Shell)

critical Web App Scanning プラグイン ID 113217

概要

Spring Framework < 5.2.20 / 5.3.x < 5.3.18 リモートコード実行 (Spring4Shell)

説明

Spring MVC および Spring WebFlux アプリケーションが従来の WAR ファイルとしてパッケージ化され、Apache Tomcat サーブレットコンテナの JDK バージョン 9 以降で実行され、DataBinder が有効になっている 1 つ以上のエンドポイントを公開すると、リモートコード実行 (RCE) の脆弱性の影響を受けます。

特定の HTTP リクエストを細工することで、攻撃者はこの脆弱性を利用して、たとえばターゲットアプリケーションで Web シェルをホストすることで、ターゲットを侵害する可能性があります。

ソリューション

現在のアプリケーションバージョンのブランチに応じて、少なくとも Spring Framework 5.2.20 または 5.3.18 に更新してください。Spring Framework への依存関係により、Spring Boot も少なくともバージョン 2.5.12 または 2.6.6 に更新する必要があります。Apache Tomcat チームは、バージョン 10.0.20、9.0.62、および 8.5.78 をリリースしました。これらはすべて、Tomcat 側の攻撃ベクトルを閉じます。

参考資料

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://spring.io/blog/2022/04/01/spring-framework-rce-mitigation-alternative

https://tanzu.vmware.com/security/cve-2022-22965

プラグインの詳細

深刻度: Critical

ID: 113217

タイプ: remote

ファミリー: Component Vulnerability

公開日: 2022/3/31

更新日: 2022/4/7

スキャン テンプレート: api, basic, full, pci, scan

リスク情報

VPR

リスクファクター: Critical

スコア: 9.8

CVSS v2

リスクファクター: High

Base Score: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2022-22965

CVSS v3

リスクファクター: Critical

Base Score: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS スコアのソース: CVE-2022-22965

脆弱性情報

CPE: cpe:2.3:a:vmware:spring_security:*:*:*:*:*:*:*:*

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2022/3/31

脆弱性公開日: 2022/3/30

CISA の既知の悪用された脆弱性の期限日: 2022/4/25

参照情報

CVE: CVE-2022-22965