CVE-2024-22262: Spring Framework Hit by New Vulnerability, Urgent Update Needed
2024/04/12 SecurityOnline — 広範に利用されている Spring Framework ソフトウェアに存在する、深刻度の高いセキュリティ上の欠陥 CVE-2024-22262 が、新たに発見された。この脆弱性により、無数のアプリケーションに対して、リダイレクト攻撃やサーバ・サイド・リクエスト・フォージェリ (SSRF) 攻撃が発生する可能性があると、研究者たちが警告している。
この脆弱性は、Spring Framework の UriComponentsBuilder ツールが、外部から提供される URL を処理/検証する際の方法に起因する。この脆弱性の悪用に成功した攻撃者は、フィッシング詐欺用の悪質な Web サイトへ向けて、無防備なユーザーをリダイレクトすることが可能であり、また、内部システムに対して攻撃を仕掛けることも可能になる。
同社のセキュリティ・アドバイザリには、「UriComponentsBuilder を用いることで、外部から提供される URL を解析 (クエリ・パラメータなど) し、さらに、解析したURL のホスト上で検証を行うアプリケーションには問題が生じる。つまり、 検証を通過した URL が使用される場合において、オープン・リダイレクト 攻撃や SSRF 攻撃に対して、脆弱になる可能性が生じる」と記されている。
過去の脆弱性との類似
最近になって発見された、この脆弱性 CVE-2024-22262 は、Spring Frameworkの 既知の深刻な脆弱性 CVE-2024-22259/CVE-2024-22243 と、きわめて類似している。しかし、セキュリティ研究者たちが強調するのは、CVE-2024-22262 には別種の攻撃経路が含まれていることだ。
影響を受けるバージョン
Spring Framework における、以下のバージョンに脆弱性があることが確認されている:
- 6.1.0〜 6.1.5
- 6.0.0〜6.0.18
- 5.3.0 〜5.3.33
- EOL:サポートが終了した古いバージョン
直ちに対策を
Spring の開発チームは、脆弱性 CVE-2024-22262 に対応するパッチを、すでにリリースしている。Spring Framework を使用している組織に強く推奨されるのは、可能な限り早急に、修正済のバージョンにアップグレードすることだ。
数多くのアプリケーションが活用している Spring Framework ですので、影響の範囲も広いと思います。ご利用のチームは、お気をつけください。前回の Spring Framework に関する記事は、2024/03/14 の「Spring Framework の脆弱性 CVE-2024-22259 が FIX:直ちにアップデートを!」となっています。よろしければ、Spring で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.