2022年4月4日現在、リモートの攻撃者が任意のコードを実行できる可能性のある
Spring Framework の脆弱性(CVE-2022-22965)について、
既に悪用するための実証コードが公開されていること
及び詳細を解説する記事がすでに複数公開されていることから、緊急度の高い脆弱性として、
本ページではCVE-2022-22965への弊社セキュリティ製品の対応状況について記載しております。
最新情報については以下に適宜更新いたします。
| SCT SECURE クラウドスキャン | |
|---|---|
| ポータルサイトへの影響 | 管理システムを含むサービス全般において当該脆弱性の影響はございません。 |
| 対応状況 | シグネチャの追加対応中となります。 |
| SCT SECURE SWAT | |
| ポータルサイトへの影響 | 管理システムを含むサービス全般において当該脆弱性の影響はございません。 |
| 対応状況 | シグネチャを追加し、検知可能となっております。 |
| クラウド型 WAF(cloudbric) | |
| ポータルサイトへの影響 | 管理システムを含むサービス全般において当該脆弱性の影響はございません。 |
| 対応状況 | 既存のシグネチャにて、対応可能となっております。 |
| gred セキュリティサービス | |
| ポータルサイトへの影響 | 管理システムを含むサービス全般において当該脆弱性の影響はございません。 |
| TrustedSite | |
| ポータルサイトへの影響 | 管理システムを含むサービス全般において当該脆弱性の影響はございません。 |
| 対応状況 | シグネチャを追加し、検知可能となっております。 |
VMware からは既に本脆弱性を修正したバージョンが公開されております。
外部からのアクセスによる検出が難しいケースもございますので、
脆弱性の影響を受ける Spring Framework 5.3.18 より前の 5.3 系のバージョン
または 5.2.20 より前の 5.2 系のバージョンをご利用中の場合には、
アップデートによる対応をご検討ください。
参照情報:
Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)について:JPCERT コーディネーションセンター
CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+:VMware