サイト内の現在位置

Spring Frameworkにおける不適切なデータバインディング処理による任意コード実行の脆弱性

掲載番号:NV22-008
脆弱性情報識別番号:JVNVU94675398

概要

Spring Frameworkは、Java言語でWebアプリケーションなどを作成するために用いられるフレームワークです。Spring Frameworkには、データバインディングで使用する、CachedIntrospectionResultsクラス内のPropertyDescriptorオブジェクトを安全に処理しない脆弱性(CVE-2022-22965)があります。その結果、攻撃者によりclass.classLoaderを呼び出され、システム内で任意のJavaコードが実行される可能性があります。

・JDK 9以上を使用している
・Apache Tomcatをサーブレットコンテナとして使用している
・WAR形式でデプロイされている
・プログラムがspring-webmvcあるいはspring-webfluxに依存している
ただし、上記以外にも攻撃が成功するための条件が存在する可能性があります。今後公開される情報を注視してください。

対象製品

SimpWright

対象となる製品のバージョン

SimpWright 8.0.0, 8.0.0_1, 8.0.0_2, 8.0.1
※SimpWright V7以前のバージョンは影響ありません。

対処方法

対応用のモジュールを提供しています。

NECサポートポータルにログイン後、下記のURLから修正モジュールのダウンロードページに遷移できます。
<NECサポートポータルサイト>
https://www.support.nec.co.jp/
コンテンツURL
http://support.pf.nec.co.jp/View.aspx?id=9010110182

または該当修正モジュールのコンテンツIDの 9010110182 で検索し、
「【【SimpWright】Spring Framework における脆弱性(CVE-2022-22965)対策用修正モジュール」
ページからダウンロードしてください。

■適用方法
 ダウンロードファイルに修正モジュール、および適用手順を記載したSpring Frameworkにおける脆弱性(CVE-2022-22965)対応修正パッチ.pdfが含まれておりますので確認の上適用を行ってください。

 NECサポートポータルから入手できない場合は、SimpWright製品のMLまでご連絡ください。
 <製品ML>
 simpwright[@]nes.jp.nec.com

参考情報

JVNVU#94675398
https://jvn.jp/vu/JVNVU94675398/index.html

CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+
https://tanzu.vmware.com/security/cve-2022-22965

Spring Framework RCE, Early Announcement
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

更新情報

2022/08/05
SimpWright を登録しました。