Spring Security と Spring Framework に認証回避の脆弱性

掲載番号:NV18-004
脆弱性情報識別番号:JVN#15643848

概要

Spring Security と Spring Framework には、認証回避の脆弱性が存在します。

対象製品

SystemDirector Enterprise

影響の有無

影響あり

対象となる製品のバージョン

SystemDirector Enterprise for Java Spring拡張サブモデル V9.0～V10（※）
SystemDirector Enterprise for Java Springサブモデル V6.0～V9.4（※）

（※）補足
本脆弱性によって影響を受ける Spring Framework のバージョンは以下のとおりです。
Spring Framework 5.0.0 - 5.0.2
4.3.0 - 4.3.13
上記のバージョンは SystemDirector Enterprise では使用しておりません。
しかし、公式見解では現在メンテナンスしていないバージョンについては未分析であり、上記以外も脆弱性の影響を受ける可能性がある、とされています。よって、上記以外の Spring Framework を利用している SystemDirector Enterprise についても本脆弱性の対象としています。