JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は4月10日、「Spring Framework の脆弱性に関する注意喚起」において、Spring Frameworkに複数の脆弱性が存在すると伝えた。この脆弱性を悪用されると、アプリケーションサーバの実行権限で遠隔から任意のOSコマンドが実行される危険性があるという。

脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

  • Spring Framework 5.0から5.0.4までのバージョン
  • Spring Framework 4.3から4.3.15までのバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Spring Framework 5.0.5
  • Spring Framework 4.3.16
  •  - 資料: JPCERTコーディネーションセンター(Japan提供

    Spring Framework 5.0.5 and 4.3.15 available now -

JPCERT/CCはこの脆弱性を悪用したWebアプリケーションの実証コードを確認したとしており、遠隔から任意のOSコマンドが実行可能であるという。該当するプロダクトを使用している場合は、十分なテストを実施した上で修正されたバージョンへアップデートすることが推奨されている。