CVE-2024-22259: Spring Framework Update Fixes High-Severity Flaw
2024/03/14 SecurityOnline — 多くの Java ベースのアプリケーションの基礎となっている、人気の Spring Framework に存在する、深刻度の高い脆弱性 CVE-2024-22259 が修正された。この脆弱性は、EcoFlow Intelligent Terminal の threedr3am により発見されたものだ。
何がリスクなのか?
Spring Framework の UriComponentsBuilder 機能を使って、外部ソース (ユーザー入力など) からの URL を処理しているアプリケーションには、危険にさらされる可能性が生じている。これらのアプリケーションが、解析された URL のホスト名もチェックする場合には、以下の2種類の攻撃を受ける可能性がある:
- オープン・リダイレクト攻撃:これは、ホスト検証を回避した攻撃者が、ユーザーを危険な Web サイトにリダイレクトさせるものだ。この手口は、フィッシング攻撃によく使われる。
- SSRF (Server-Side Request Forgery) 攻撃:この脆弱性の悪用に成功した攻撃者は、脆弱なアプリケーションに対して内部システムや外部ネットワークへの不正なリクエストを行わせることが可能になる。その結果として、機密データを漏えいにいたる恐れが生じる。
過去の脆弱性 CVE-2024-22243 との関連性
この脆弱性 CVE-2024-22259 は、以前に公開された Spring Framework の脆弱性 CVE-2024-22243 とよく似ているが、悪用の入口が異なっている。
影響を受けるバージョン
Spring Framework の以下のバージョンを使用している場合は、早急な対応が必要だ:
- Spring Framework 6.1.0〜6.1.4
- Spring Framework 6.0.0〜6.0.17
- Spring Framework 5.3.0〜5.3.32
- 現在はサポート対象外の、古いバージョンも影響を受ける。
今すぐアップグレードを!
アプリケーションを保護するためには、Spring Framework を、以下のバージョンにアップグレードすることだ:
安全性を保つには
深刻なセキュリティ脆弱性が発表された場合には、そのソフトウェアにおける依存関係を、常に最新の状態に保つことが不可欠となる。警戒を怠らないことで、あなたのアプリケーションの既知のセキュリティ・ホールを、攻撃者が悪用する可能性が最小限に抑えられるだろう。
今年に入ってから、2024/01/22 の「Spring Framework の脆弱性 CVE-2024-22233 が FIX:DDoS の可能性」と、2024/02/20 の「Spring Security の脆弱性 CVE-2024-22234 が FIX:直ちにアップデートを!」という具合に、Spring の脆弱性が続いています。このフレームワークに依存するソフトウェアに、サプライチェーン攻撃の可能性が発生していますので、ご利用のチームは、お気をつけください。
IoT OT Security News 
You must be logged in to post a comment.