새로운 원격 코드 실행 (RCE) 취약점 CVE-2022-22963은 최근 스프링 클라우드 기능에서 발견되어 공격자가 임의의 코드를 실행하고 호스트를 위험에 빠뜨릴 수 있습니다.
스프링 프레임 워크에 영향을 미치는 또 다른 주요 취약점 CVE-2022-22965도보고되었습니다.
これらの脆弱性は、特にJDK >= 9를 사용하여 라우팅 함수를 사용하는 환경에서 SPEL (Spring Expression Language)을 통해 무단 액세스 및 명령 실행을 가능하게합니다.
영향을받는 스프링 클라우드 기능 버전은 3.1.6 및 3.2.2이며, 지원되지 않는 버전은 이전입니다.
이러한 취약점은 클라우드의 서버리스 기능에도 영향을 줄 수 있으며 CVE-2022-22963의 경우 3.1.7 및 3.2.3으로 업데이트하여 응용 프로그램을 완화 할 수 있습니다.
이미지 스캐너, 입학 컨트롤러 및 런타임 감지 엔진을 사용하여 탐지 및 완화를 수행하는 것이 좋습니다.