2024年度クラウドネイティブセキュリティおよび利用状況レポート
最近、JDK9+を使用するJavaフレームワークSpring Coreにおいて、Spring4shellと呼ばれる新たな脆弱性CVE-2022-22965が報告されました。
このリモートコード実行(RCE)脆弱性は、攻撃者によるマシン上での任意のコード実行を可能にし、ホストを危険にさらす可能性があります。
影響を受けるバージョンはSpring 5.3.0から5.3.17、および5.2.0から5.2.19で、サポートされていない古いバージョンもリスクにさらされています。
この脆弱性は、特にRequestMappingアノテーションとPOJOパラメータを使用する関数に存在し、Tomcat上で実行されるプロジェクトに影響を与えます。
影響を受ける場合、アプリケーションを5.3.18以上または5.2.20以上に更新する必要があります。
Sysdigなどのツールを使用して、脆弱性のあるパッケージを検出し、緩和策を講じることが推奨されます。
