パッチが適用されていないJavaSpringFrameworkのゼロデイRCEバグが、エンタープライズWebアプリのセキュリティを脅かす – thehackernews.com

中国のセキュリティ研究者がアカウントを削除する前にGitHubで概念実証（PoC）のエクスプロイトを簡単に漏らした直後に、Springフレームワークでゼロデイリモートコード実行（RCE）の脆弱性が明らかになりました。
サイバーセキュリティ会社のPraetorianによると、パッチが適用されていない欠陥は、Spring Core on Java Development Kit（JDK）バージョン9以降に影響を及ぼし、CVE-2010-1622として追跡される別の脆弱性のバイパスとなり、認証されていない攻撃者がターゲットシステムで任意のコードを実行できるようになります。
「SpringShell」および「Spring4Shell」と呼ばれるこの欠陥の追加の詳細は、悪用の試みを防ぐために、フレームワークのメンテナであるVMwareの子会社であるSpring.ioによって修正が行われるまで保留されています。
ゼロデイエクスプロイトの標的となる欠陥は、Spring Framework式のDoS脆弱性（CVE-2022-22950）やSpring Cloud式のリソースアクセスの脆弱性（CVE-2022-22950）など、今週アプリケーションフレームワークで公開された2つの以前の脆弱性とは異なることに注意してください。
CERT / CCの脆弱性アナリスト、ウィル・ドーマン氏はツイートで、「Spring4Shellのエクスプロイトは、spring.ioのストックの「HandlingFormSubmission」サンプルコードに対して機能しているようだ」と述べた。
「サンプルコードが脆弱である場合、RCEに対して脆弱な実際のアプリが実際に存在していると思われます。」