Spring4Shell：まだ悪用可能な実世界のアプリを探している研究者 – venturebeat.com

セキュリティ研究者は、Spring4Shellとして知られるSpring Coreのリモートコード実行（RCE）の脆弱性を使用して悪用可能な、実際の「実際の」アプリケーションを探し続けています。
これまでに、いくつかのベンダーが自社製品がSpring4Shellに対して脆弱である可能性を調査していることを示すアドバイザリをリリースしましたが、RCEの欠陥に対する脆弱性を確認したベンダーはありません。
金曜日のVentureBeatへのメッセージで、GitHubのSpring4Shellの脆弱性に関する詳細をまとめたセキュリティ専門家のクリス・パートリッジ氏は、セキュリティコミュニティは「脆弱なアプリケーションを実際に見つけるのに非常に苦労している」と述べています。
これは、Spring4Shell RCEの脆弱性が実際に実行可能であることを証明し、実際のアプリがこの欠陥に対して脆弱である可能性が高いことを示唆している、とドーマン氏は水曜日のツイートで述べています。
Spring4Shellは「より一般的な脆弱性」であるため（木曜日の脆弱性に関するブログでSpringが指摘しているように）、可能な場合はすべてのSpringユーザーにパッチを適用することをお勧めします。
一方、デフォルトは、Spring4Shellの最初のエクスプロイトに対して脆弱ではありません。