本記事は2022年3月31日(米国時間)/2022年4月1日(日本時間)に公開した英語ブログSpring4Shell: The zero-day RCE in the Spring Framework explainedを日本語化した内容です。 2022年3月30日(米国時間)、Spring フレームワークにリモートコード実行(RCE)可能な重大な脆弱性が発見されました。具体的には、spring-webmvc と spring-webflux の両方の依存先である spring-beans パッケージに含まれています。この脆弱性は、ソフトウェアのサプライチェーンを保護することがオープンソースにとって重要であることを示すもう一つの例です。 Lunasec、Rapid7、 Praetorianなどのセキュリティリソースがこの脆弱性が実在することを確認し、その間にSpringはこの問題を修正する