Spring4Shell（CVE-2022-22965）：詳細と緩和策 – securelist.com

先週、研究者たちは、オープンソースのJavaフレームワークであるSpringに重大な脆弱性CVE-2022-22965を発見しました。
攻撃者はこの脆弱性を利用して、リモートWebサーバー上で任意のコードを実行する可能性があり、Springフレームワークの人気を考えると、CVE-2022-22965が重大な脅威になります。
CVE-2022-22965（Spring4Shell、SpringShell）は、データバインディング機能を使用して、HTTPリクエスト内に保存されているデータをアプリケーションが使用する特定のオブジェクトにバインドするSpringFrameworkの脆弱性です。
CVE-2022-22963は、Spring Cloud Functionのルーティング機能の脆弱性であり、HTTPリクエストに特別なspring.cloud.function.routing-expressionヘッダーを追加することで、Spring Expression Language（SpEL）を介したコードインジェクションを可能にします。
この脆弱性は、リモートでコードが実行される場合にも使用される可能性があります。
春の脆弱性の悪用に対する緩和策