VMwareは3月31日にJavaアプリケーションフレームワーク「Spring Framework」に脆弱性「CVE-2022-22965」が存在すると発表した。悪用された場合、第三者によるリモートコードが実行される可能性がある。これらは通称「Spring4Shell」または「SpringShell」と呼ばれているという。脆弱性の深刻度は「Critical」。共通脆弱性評価システムCVSS v3のスコアは「9.8」（VMware、JPCERT/CC、INTERNET Watch、Security NEXT）。

脆弱性の対象となる Spring Framework のバージョンはSpring Framework versions 5.3.0から5.3.17、同じく5.2.0から5.2.19となっている。また攻撃を成功させるためには、JDK 9以上を使用している、pache Tomcatをサーブレットコンテナとして使用している、WAR形式でデプロイされている、プログラムがspring-webmvcあるいはspring-webfluxに依存しているなどの条件が揃う必要があるという。VMwareでは脆弱性に対処した「Spring Framework 5.3.18」「同5.2.20」を公開した。JPCERT/CCは、十分なテストを実施の上で適用するよう促している。

またこの直前となる29日にSpring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンで、ルーティング機能を有効にしている場合に細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性「CVE-2022-22963」があるとのことも報告されている（Vmware、ZDNet）。

すべて読む | セキュリティセクション | セキュリティ | バグ | Java | IT |

関連ストーリー：
zlib に 17 年前から存在し、4 年前から放置されていた脆弱性が修正される 2022年04月04日
Chromeがついにバージョン100に到達 2022年03月31日
ホンダ・シビックのキーレスシステムを乗っ取り可能な脆弱性 2022年03月28日
Chromium 系ブラウザー、相次いで緊急アップデート 2022年03月27日
node-ipcメインテナー、ロシアとベラルーシのホストシステムのファイルを上書きするコードを追加 2022年03月22日
log4j問題等を受け、米政府がGAFAやApacheらを集めたOSSセキュリティサミットを開催 2022年01月18日
ハッキングコンテスト「Pwn2Own」で狙われたEdge、仮想マシン内のEdgeからホストにアクセスできる攻撃も行われる 2017年03月24日
Intel CPUに脆弱性が発見される。64ビットOSや仮想化ソフトに影響 2012年06月19日
ディスクワイプも免れるBIOS攻撃手法 2009年03月26日