Spring FrameworのSpring関係のフレームワークに複数の脆弱性が確認された。確認されたのは5件の脆弱性で、そのうち3つの脆弱性の重要度がCriticalとなっている。
一つ目は、Spring Framework 5.0.5 RELEASEで、Spring Securityの全バージョンとの組み合わせで認証バイパスの脆弱性が存在する。Spring Framework 5.0.6 RELEASEへのアップデートによりこの脆弱性は解消される。
Spring Security OAuth 2.3から2.3.2、2.2から2.2.1、2.1から2.1.1、2.0から2.0.14とそれ以前のバージョンにはリモートコード実行の恐れのある脆弱性が存在する。解決策としてSpring Security OAuth 2.3.3、2.2.2、2.1.2、2.0.15が公開されている。
spring integration zip バージョン1.0.1以前では細工された圧縮ファイルの使用によりパストラバーサルが生じる脆弱性が存在する。解決策としてspring integration zip バージョン1.0.1へのアップデートでこの脆弱性は修正される。
その他2件の脆弱性の重要度はHighで、1件はSpring Framework versions 5.0.xから5.0.5、4.3.x から4.3.16とそれ以前にはsimple STOMP brokerが有効化してる場合に、WebSocket上でspringメッセージモジュールでメッセージングプロトコルを処理すると、細工されたメッセージによりサービス運用妨害の脆弱性が生じる。解決策としてSpring Framework 5.0.6及び4.3.17が公開されている。
2件目はSpring Data Commonsバージョン1.13から1.13.11、2.0から2.0.6でSpring Data Commonsバージョン1.13から1.13.11、2.0から2.0.6とXMLBeam 1.4.14又はそれ以前のバージョンとの組み合わせでXML外部実体参照(XXE)処理の脆弱性が発生する。この脆弱性により任意のファイルにアクセスされる恐れがある。解決策としてSpring Data Commons 1.13.12及び2.0.7が公開されている。
