Spring4ShellがCISAの悪用された脆弱性のリストに追加されました – venturebeat.com

CISAは、影響を受けるソフトウェアを更新する連邦機関の期限を4月25日に設定しました。
Spring4Shellとして知られるようになった脆弱性の詳細が先週の火曜日にリークされ、木曜日にVMwareが所有するSpringによってオープンソースの脆弱性が認められました。
RCEの脆弱性（CVE-2022-22965）はJDK 9以降に影響を及ぼし、アプリケーションがApache Tomcatで実行されるなど、悪用されるためのいくつかの追加要件があります、とSpringは木曜日のブログ投稿で述べています。
土曜日に、VMwareは、Tanzuアプリケーションプラットフォーム内の3つの製品がSpring4Shellの影響を受けることを明らかにしました。
それでも、CISAカタログへの追加と影響を受ける製品の開示があっても、Spring4Shellを使用して悪用可能な実際のアプリケーションの発見は、Log4Shellよりもかなり困難でした。
Spring Frameworkの幅広い使用は、「影響を受ける可能性のある多くのデプロイメント…しかし、現実には、緩和された状況のために、デプロイメントのごく一部のみがこの問題に対して本当に脆弱です」とSonatypeのフィールドCTOであるIlkkaTurunenは述べています。