1. ホーム
  2. サポート
アーティクル - CS366379

Java Spring Framework の脆弱性 (CVE-2022-22963、CVE-2022-22950、CVE-2022-22965) が Windchill および FlexPLM に与える影響

修正日: 22-May-2025   


注記:ここに記載されている情報は、お客様の利便性向上のため機械翻訳ソフトを使用しています。PTCは、ここに記載されている情報の翻訳の正確性について、一切の責任を負いませんので、ご了承ください。英語の原文を参照するには、こちら。この機械翻訳に関する詳細は、こちら。
お知らせいただき、ありがとうございます。この機械翻訳をレビューします。

適用対象

  • Windchill PDMLink 11.1 M020 to 12.1.0.0
  • FlexPLM 11.1 M010 to 12.0.3.0

説明

  • Springには、ゼロデイの重大なRCE(リモートコード実行)を含む複数の脆弱性が報告されています。
  • CVE-2022-22963
    • CVSSスコア(VMware)= 5.4
    • 説明: Spring Cloud Function バージョン 3.1.6、3.2.2、およびサポートされていない以前のバージョンでは、ルーティング機能を使用する場合、ユーザーが特別に細工した SpEL をルーティング式として提供して、ローカル リソースにアクセスできる可能性があります。
    • 緩和策:影響を受けるバージョンをご利用の場合は、3.1.7、3.2.3 にアップグレードしてください。その他の手順は必要ありません。
    • 適用範囲: Windchill または FlexPLM には適用されません。影響はありません。
    • 追加リファレンス: Tanzu vmware もCVE-2022-22963に関する概要を共有しました。
  • CVE-2022-22950
    • CVSSスコア(VMware)= 5.4
    • 説明: Spring Framework バージョン 5.3.0 - 5.3.16 およびそれ以前のサポートされていないバージョンでは、ユーザーが特別に細工した SpEL 式を提供して、サービス拒否状態を引き起こす可能性があります。
    • 緩和策:影響を受けるバージョンをご利用の場合は、5.3.17以降にアップグレードしてください。その他の手順は必要ありません。
    • 適用範囲: 決議を参照
    • 追加参考資料: Tanzu VMware もCVE-2022-22950に関する概要を公開しました。
  • CVE-2022-22965 (Spring4Shell)
    • CVSS スコア ( Black Duck ): 9.8 (重大)
    • 説明:JDK 9以降で実行されているSpring MVCまたはSpring WebFluxアプリケーションは、データバインディングを介したリモートコード実行(RCE)の脆弱性を悪用される可能性があります。この脆弱性を悪用するには、アプリケーションをTomcat上でWAR形式でデプロイする必要があります。アプリケーションがデフォルトのSpring Boot実行可能jarとしてデプロイされている場合は、この脆弱性の影響を受けません。ただし、この脆弱性の性質はより一般的なため、他の方法で悪用される可能性があります。
    • 緩和策:Spring Framework 5.3.18へのアップデート
    • 適用範囲: 決議を参照
    • 追加リファレンス: Tanzu vmware もCVE-2022-22965に関する概要を共有しました。
最新バージョンはこちらを参照ください CS366379