VMwareのSpring Frameworkにおけるパストラバーサルの脆弱性
| Title |
VMwareのSpring Frameworkにおけるパストラバーサルの脆弱性
|
| Summary |
Spring MVCおよびSpring WebFluxアプリケーションにおいて、Javaスクリプトエンジン(例:JRuby、Jython)を有効にしたテンプレートビューを使用すると、スクリプトテンプレートビューの設定された場所外のファイルから内容が漏洩する可能性があります。本問題はSpring Frameworkのバージョン7.0.0から7.0.5、6.2.0から6.2.16、6.1.0から6.1.25、5.3.0から5.3.46に影響を与えます。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
March 20, 2026, midnight |
| Registration Date |
April 24, 2026, 11:33 a.m. |
| Last Update |
April 24, 2026, 11:33 a.m. |
|
CVSS3.0 : 警告
|
| Score |
5.9
|
| Vector |
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Affected System
| VMware |
|
Spring Framework 5.3.47 未満
|
|
Spring Framework 6.1.0 以上 6.1.26 未満
|
|
Spring Framework 6.2.0 以上 6.2.17 未満
|
|
Spring Framework 7.0.0 以上 7.0.6 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月24日]
掲載 |
April 24, 2026, 11:33 a.m. |
NVD Vulnerability Information
CVE-2026-22737
| Summary |
Use of Java scripting engine enabled (e.g. JRuby, Jython) template views in Spring MVC and Spring WebFlux applications can result in disclosure of content from files outside the configured locations for script template views. This issue affects Spring Framework: from 7.0.0 through 7.0.5, from 6.2.0 through 6.2.16, from 6.1.0 through 6.1.25, from 5.3.0 through 5.3.46.
|
| Summary |
El uso de vistas de plantilla con motor de scripting de Java habilitado (p. ej., JRuby, Jython) en aplicaciones Spring MVC y Spring WebFlux puede resultar en la divulgación de contenido de archivos fuera de las ubicaciones configuradas para las vistas de plantilla de script. Este problema afecta a Spring framework: de 7.0.0 a 7.0.5, de 6.2.0 a 6.2.16, de 6.1.0 a 6.1.25, de 5.3.0 a 5.3.46.
|
| Publication Date |
March 20, 2026, 9:16 a.m. |
| Registration Date |
April 27, 2026, 12:17 p.m. |
| Last Update |
April 23, 2026, 11:20 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:vmware:spring_framework:*:*:*:*:*:*:*:* |
|
|
|
5.3.47 |
| cpe:2.3:a:vmware:spring_framework:*:*:*:*:*:*:*:* |
6.1.0 |
|
|
6.1.26 |
| cpe:2.3:a:vmware:spring_framework:*:*:*:*:*:*:*:* |
6.2.0 |
|
|
6.2.17 |
| cpe:2.3:a:vmware:spring_framework:*:*:*:*:*:*:*:* |
7.0.0 |
|
|
7.0.6 |
Related information, measures and tools
Common Vulnerabilities List