Spring 終活リソース・ハブ
サポート終了を意味するものではありません。 Spring アプリケーションの安定性、安全性、コンプライアンスを維持するための戦略、リソース、ソリューションをご覧ください。

EOL JavaライブラリのCVEを探る
レガシーなSpring その他の一般的なJavaライブラリの既知の脆弱性を監視し、詳細を学ぶ。
重大性
ID
テクノロジー
影響を受けるライブラリ
カテゴリー
影響を受けるバージョン
公開日
高い
Spring
Spring Cloud Gateway
情報露出
>=3.1.0 <=3.1.11, >=4.0.0, >=4.1.0 <=4.1.11, >=4.2.0 <=4.2.5, >=4.3.0 <=4.3.1
2025年10月21日
ミディアム
Spring
Spring
クロスサイト・リクエスト・フォージェリ
>=6.2.0 < 6.2.12, >=6.1.0 < 6.1.24, >=6.0.0 <=6.0.29, >=5.3.0 < 5.3.46, <5.3.0, >4.3.0 <= 4.3.30
2025年10月21日
クリティカル
.NET
ASP.NET Coreランタイム、Microsoft.AspNetCore.Server.Kestrel.Core
HTTPリクエストの一貫性のない解釈
ASP.NET Core: >= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.20 >= 9.0.0 <= 9.0.9 <= 10.0.0-rc.1 Microsoft.AspNetCore.Server.Kestrel.Core: <= 2.3.0
2025年10月17日
ミディアム
Spring
Spring
特権の乱用
>=5.3.0 <=5.3.44, >=6.0.0 <=6.0.29, >=6.1.0 <6.1.23, >=6.2.0 <6.2.11
2025年9月22日
高い
Angular
angular/angular-server、@angular/angular、@nguniversal/common
情報露出
@angular/platform-server, =16.0.0-next.0 <18.2.14, >=19.0.0-next.0 <19.2.15, >=20.0.0-next.0 <20.3.0, >=21.0.0-next.0 <21.0.0-next.3, @angular/ssr, =17.0.0-next.0 <18.2.21, >=19.0.0-next.0 <19.2.16, >=20.0.0-next.0 <20.3.0, >=21.0.0-next.0 <21.0.0-next.3, @nguniversal/common, =16.0.0-next.0
2025年9月11日
クリティカル
Spring
Spring Cloud Gateway
誤ったアクセス制御の設定
>=3.1.0 <=3.1.9, >=4.0.0 <=4.0.9, >=4.1.0 <=4.1.9, >=4.2.0 <4.2.5, >=4.3.0 <4.3.1
2025年9月10日
ミディアム
Spring
Spring
パストラバーサル
>=4.3.0 <=4.3.30, >=5.3.0 <=5.3.43, >=6.0.0 <=6.0.29, >=6.1.0 <=6.1.21, >=6.2.0 <=6.2.9
2025年8月18日
高い
Apache Tomcat
Apache Tomcat
パストラバーサル
>=9.0.0.M1 <9.0.105, >=10.1.0-M1 <10.1.41, >=11.0.0-M1 <11.0.7
2025年8月4日
クリティカル
Apache Tomcat
Apache Tomcat
コマンド・インジェクション
>=9.0.76 <9.0.104, >=10.1.10 <10.1.40, >=11.0.0-M2 <11.0.6
2025年8月4日
クリティカル
Apache Tomcat
Apache Tomcat
リモートコード実行
>=9.0.0.M1 <9.0.99, >=10.1.0-M1 <10.1.35, >=11.0.0-M1 <11.0.3
2025年7月30日
ミディアム
Apache Tomcat
Apache Tomcat
サービス拒否
>=9.0.0.M1 <9.0.107, >=10.1.0-M1 <10.1.43, >=11.0.0-M1 <11.0.9
2025年7月30日
ミディアム
Apache Tomcat
Apache Tomcat
サービス拒否
>=9.0.0.M1 <9.0.107, >=10.1.0-M1 <10.1.43, >=11.0.0-M1 <11.0.9
2025年7月30日
ミディアム
Apache Tomcat
Apache Tomcat
認証バイパス
>=9.0.0.M1 <9.0.106, >=10.1.0-M1 <10.1.42, >=11.0.0-M1 <11.0.8
2025年7月30日
高い
Apache Tomcat
Apache Tomcat
パストラバーサル
>=9.0.23 <9.0.106, >=10.1.0 <10.1.42, >=11.0.0-M1 <11.0.8
2025年7月30日
高い
Apache Tomcat
Apache Tomcat
サービス拒否
>=9.0.0.M1 <9.0.106, >=10.1.0-M1 <10.1.42, >=11.0.0-M1 <11.0.8
2025年7月30日
高い
Apache Tomcat
Apache Tomcat
サービス拒否
>=9.0.76 <9.0.104, >=10.1.10 <10.1.40, >=11.0.0-M2 <11.0.6
2025年7月30日
高い
.NET
ASP.NETコアランタイム Microsoft.AspNetCore.Identity
弱い認証
ASP.NET Core: >= 6.0.0 <= 6.0.36 Microsoft.AspNetCore.Identity: <= 2.3.0
2025年7月9日
高い
Spring
Spring Cloud Gateway
HTTPリクエストの密輸
<=3.1.10, >= 4.0.0 <= 4.0.10, >=4.1.0 <4.1.8, >=4.2.0 <4.2.3, >4.3.0-{M1, M2, RC1} < 4.3.0
2025年6月2日
高い
Apache Tomcat
Apache Tomcat
リモートコード実行
>=9.0.0.M1 <9.0.98, >=10.1.0-M1 <10.1.34, >=11.0.0-M1 <11.0.2
2025年5月28日
ミディアム
Apache Tomcat
Apache Tomcat
サービス拒否
>=9.0.0.M1 <9.0.98, >=10.1.0-M1 <10.1.34, >=11.0.0-M1 <11.0.2
2025年5月28日
ミディアム
Apache Tomcat
Apache Tomcat
情報露出
>=9.0.92 <9.0.96, >=10.1.27 <10.1.31, >=11.0.0-M23 <11.0.0
2025年5月28日
クリティカル
Apache Tomcat
Apache Tomcat
認証バイパス
<9.0.96, >=10.1.0-M1 <10.1.30, >=11.0.0-M1 <11.0.1
2025年5月28日
高い
Apache Tomcat
Apache Tomcat
リモートコード実行
>=9.0.0.M1 <9.0.98, >=10.1.0-M1 <10.1.34, >=11.0.0-M1 <11.0.2
2025年5月28日
高い
Apache Tomcat
Apache Tomcat
サービス拒否
>=9.0.13 <9.0.90, >=10.1.0-M1 <10.1.25, >=11.0.0-M1 <11.0.0.M21
2025年5月28日
高い
Apache Tomcat
Apache Tomcat
サービス拒否
>=9.0.0.M1 <9.0.90, >=10.1.0-M1 <10.1.25, >=11.0.0-M1 <11.0.0-M21
2025年5月28日
低い
Spring
Spring
認証バイパス
>=4.3.0 <=4.3.30, >=5.3.0 <=5.3.42, >=6.0.0 <=6.0.27, >=6.1.0 <6.1.20, >=6.2.0 <6.2.7
2025年5月15日
高い
Spring
Spring Security
認証バイパス
>=5.7.0 <5.7.12, >=5.8.0 <5.8.11, >=6.0.0 <6.0.10, >=6.1.0 <6.1.8, >=6.2.0 <6.2.3
2025年5月8日
ミディアム
Spring
Spring
誤ったアクセス制御の設定
<2.7.0, >=2.7.0 <2.7.25, >=3.1.0 <3.1.16, >=3.2.0 <3.2.14, >=3.3.0 <3.3.11, >=3.4.0 <3.4.5
2025年4月25日
ミディアム
Spring
Spring Security
情報露出
=5.7.16, =5.8.18, =6.0.16, =6.1.14, =6.2.10, =6.3.8, =6.4.4
2025年4月22日
ミディアム
Spring
Spring 設定
認証バイパス
>=2.2.0 <=2.2.8, >=3.0.0 <=3.0.7, >=3.1.0 <3.1.10, >=4.0.0 <=4.0.5, >=4.1.0 <4.1.6, >=4.2.0 <4.2.1
2025年4月10日
クリティカル
Apache Spark
Apache Spark
ブロークン・アクセス
<3.4.0 >=3.3.0 <=3.3.1 >=3.2.0 <=3.2.3 >=3.1.0 <=3.1.3 >=3.0.0 <=3.0.3 >=2.4.8
2025年4月9日
高い
Apache Spark
Apache Spark
コマンド・インジェクション
>=3.2.0 <=3.2.1 >=3.1.1 <=3.1.3 <=3.0.3
2025年4月9日
クリティカル
Apache Camel
Apache Camel
リモートコード実行
>=3.0.0 <=3.1.0 2.25.0 2.24.x 2.23.x 2.22.x
2025年4月7日
高い
.NET
ASP.NET Coreランタイム; Microsoft.AspNetCore.Identity
弱い認証
ASP.NET Core: >= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.13 >= 9.0.0 <= 9.0.2 Microsoft.AspNetCore.Identity: <= 2.3.0
2025年4月4日
高い
.NET
.NETランタイム
安全でないパーミッションのディレクトリに一時ファイルが作成される
>= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.11 <= 9.0.0
2025年4月4日
高い
.NET
.NETランタイム
ヒープベースのバッファオーバーフロー
>= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.11 <= 9.0.0
2025年4月4日
高い
.NET
ASP.NET Coreランタイム
無料期間終了後の使用
>= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.8 >= 9.0.0-preview.1.24081.5 <= 9.0.0.RC.1
2025年4月4日
クリティカル
Next.js
Next.js
認証バイパス
>=11.1.4 <12.3.5, >=13.0.0 <13.5.9, >=14.0.0 <14.2.25, >=15.0.0 <15.2.3
2025年3月23日
高い
Spring
Spring Security
認証バイパス
<=5.6.12, >=5.7.0 <5.7.16, >=5.8.0 <5.8.18, >=6.0.0 <=6.0.16, >=6.1.0 <6.1.14, >=6.2.0 <6.2.10, >=6.3.0 <6.3.8, >=6.4.0 <6.4.4
2025年3月20日
ミディアム
Bootstrap
Bootstrap
クロスサイト・スクリプティング
>=2.0.0 <=2.3.2, >=3.0.0-rc1 <3.4.0, >=4.0.0-alpha <4.0.0-beta.2
2025年2月28日
ミディアム
Bootstrap
Bootstrap
クロスサイト・スクリプティング
>=2.3.0 <=2.3.2, >=3.0.0-rc1 <3.4.0, >=4.0.0-alpha <4.1.2
2025年2月28日
ミディアム
Bootstrap
Bootstrap
クロスサイト・スクリプティング
>=2.3.0 <=2.3.2, >=3.0.0-rc1 <3.4.0, >=4.0.0-alpha <4.1.2
2025年2月28日
クリティカル
Struts
ApacheStruts
リモートコード実行
>=2.0.0 <=2.3.37, >=2.5.0 <=2.5.33, >=6.0.0 <=6.3.0.2
2024年12月17日
ホワイトペーパー
マイグレーション、リスク、長期的なJava戦略について深く掘り下げたレポートと技術的なブリーフィング。
2025年のJava:
移行、セキュリティー、長期的リスクのナビゲート
CIO、CISO、エンジニアリング・リーダーにとっての問題は、もはやJavaに依存し続けるかどうかではない。このホワイトペーパーでは、移行の現実、現実の侵害の教訓、サプライチェーンのリスク、2025年の企業の意思決定を形成する経済、規制、ベンダーのダイナミクスについて詳細に分析している。

CVEの説明
Spring Javaの主要なCVEについて、私たちのチームが悪用を解剖し、パッチを説明し、スタックを防御する方法を紹介します。
CVE-2025-48976
サービス拒否
高い
影響を受けるプロジェクト
StrutsApache Commons Fileupload
バージョン:
>=1.0 <1.6.0
>=2.0.0-M1 <2.0.0-M
CVE-2025-46701
パストラバーサル
高い
影響を受けるプロジェクト
Apache TomcatのApache Tomcat
バージョン:
>=9.0.0.M1 <9.0.105
>=10.1.0-M1 <10.1.41
>=11.0.0-M1 <11.0.7
CVE-2025-31651
コマンド・インジェクション
クリティカル
影響を受けるプロジェクト
Apache TomcatのApache Tomcat
バージョン:
>=9.0.76 <9.0.104
>=10.1.10 <10.1.40
>=11.0.0-M2 <11.0.6
CVE-2025-48734
リモートコード実行
高い
影響を受けるプロジェクト
StrutsApache Commons Beanutils
バージョン:
>=1.0 <1.11
>=2.0.0-M1 <2.0.0-M2
.png)
.png)



.png)








.png)
.png)
.png)
.png)
![CVE-2024-38828: byte[] パラメータを使ったSpring MVC コントローラメソッド経由の DoS](https://cdn.prod.website-files.com/62876589ec366575fa309b1e/673e0f6a7971ec7d5afa92c9_CVE-2024-38828.png)
.png)



.png)
.png)

.png)
.png)
.png)

.png)