2024年2月21日にSpring Frameworkの脆弱性情報が公開されました。
ASTERIA WarpではSpring Frameworkの一部のライブラリを使用しているWebService2コンポーネントは、ASTERIA WARP 4.9からリリースされております。それ以降のバージョンでは、以下の場合には脆弱性の対象ではございません。
- WebService2コンポーネントを使用していない。
- WebService2コンポーネントを使用していても悪意のあるURLを含むWSDLファイルを使用していないかつ、動的に悪意のあるURLをEndopointプロパティに指定していない。
本件につきましては引き続き情報の確認を行い、情報が更新されましたらあらためてお知らせいたします。
技術的な詳細は以下の記事をご確認ください。
・Spring, "CVE-2024-22243: Spring Framework URL Parsing with Host Validation"
https://spring.io/security/cve-2024-22243
・NIST, "CVE-2024-22243 Detail"