Javaアプリケーションフレームワーク「Spring」において、サーバーレス実行環境の「Spring Cloud Function」で脆弱性が報告された。これとは別に「Spring Framework」コアにも深刻だとする脆弱性の存在が指摘され、情報が交錯している。
VMwareの情報によると、Spring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンでは、ルーティング機能を有効にしている場合に、細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性(CVE-2022-22963)が存在する。
この脆弱性を修正したSpring Cloud Function 3.1.7および3.2.3がリリースされ、VMwareはユーザーに更新を推奨している。脆弱性の影響は「中程度」とされている。
一方のSpring Frameworkのコアには、リモートから任意のコードを実行可能な脆弱性の存在が指摘された。しかし、日本時間3月31日時点では、脆弱性の識別番号(CVE)が割り当てられていない。脆弱性の悪用を証明する概念実証(PoC)コードに関する情報がGitHubに公開されている。
想定される影響の大きさから3月31日時点では「Spring4Shell」との通称が与えられ、サイバーセキュリティ業界関係者の間では情報が交錯。上述のSpring Cloud Functionの脆弱性(CVE-2022-22963)と混同しかねないとの指摘も聞かれるため、有識者が関連情報を集約するウェブサイトを立ち上げ、混乱の沈静化に努めている。
「Spring4Shell」脆弱性のロゴは用意されている
Java関連の脆弱性動向では、2021年12月にログ出力ライブラリーの「Apache Log4j」でリモートから任意のコードを実行可能な脆弱性が発見され、世界的な普及状況から影響が極めて大きく、「Log4Shell」との通称が付けられるなどの騒動に発展した。