概要
Spring Boot において、Actuator が有効で Health Actuator が無効に設定されている構成の場合、デフォルトセキュリティフィルタチェーンに認可ルールが正しく適用されない脆弱性が発見されました。この問題により、本来アクセスが制限されるべきエンドポイントに対して認可なしでアクセスできる可能性があります。
本脆弱性は認可バイパスに分類されます。Spring Boot の Actuator は運用監視やヘルスチェックのために広く利用されている機能ですが、特定の構成条件下でセキュリティフィルタチェーンが期待どおりに動作しないことが原因です。具体的には、Health Actuator を明示的に無効化した環境において、デフォルトのセキュリティフィルタチェーンが認可ルールを適用せずにリクエストを通過させてしまいます。
Spring Boot は Java エコシステムにおいて最も広く採用されているフレームワークの一つであり、影響範囲は非常に広いと考えられます。Actuator を使用している全ての Spring Boot アプリケーションにおいて、構成の確認と速やかなアップデートが推奨されます。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 9.1 |
| 深刻度 | Critical |
| CWE | CWE-862 (認可の欠如) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| spring-boot | VMware / Pivotal | < 4.0.6 |
修正バージョンと回避策
- 修正バージョン: Spring Boot 4.0.6 にアップデートしてください
- 回避策: アップデートが即座に適用できない場合は、Health Actuator を無効化する構成を見直し、Actuator エンドポイントに対して明示的なセキュリティ設定を適用してください
- 確認事項: Actuator を有効にしている場合、各エンドポイントのアクセス制御が意図どおり設定されているか確認してください
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。