Information / Press Releaseインフォメーション / プレスリリース

Spring Frameworkの脆弱性（CVE-2022-22965）に関するDAL製品の影響について

拝啓　貴社ますますご盛栄のことと慶び申し上げます。平素は格別のお引き立てをいただき、厚く御礼申し上げます。
さて、Javaプラットフォーム向けのオープンソースアプリケーションフレームワークであるSpring Frameworkにて脆弱性（CVE-2022-22965）が報告されましたので、弊社製品の影響について下記のとおりご案内申し上げます。

記

１．脆弱性情報
１）脆弱性識別番号
CVE-2022-22965

２）CVE-2022-22965 について（JPCERT/CC）
「Spring Frameworkの任意のコード実行の脆弱性（CVE-2022-22965）について」
https://www.jpcert.or.jp/newsflash/2022040101.html

２．弊社製品への影響
１）影響対象外製品
以下製品につきましては、Spring Frameworkを使用していないため影響ありません。

ACMS Apex
ACMS E²X
ACMS B2B
ACMS B2B LE
ACMS Web/deTradeII
ACMS WebAgent
ACMS Lite Neo
ACMS/WS
RACCOON
AnyTran
OCRtran

２）影響対象となる製品 但し条件あり
ACMS WebFramer v1.8.0～1.9.0

※WAS（Tomcat、TomEE）の実行環境として、JDK11を使用されている場合は、当脆弱性の影響対象となります。
※WAS（Tomcat、TomEE）の実行環境として、JDK8を使用されている場合は、WebFramerの上記バージョンを使用されていても、CVE-2022-22965の対象外となります。
※ACMS WebFramer v1.7.0以下は、動作環境としてJDK11をサポートしておりませんので、CVE-2022-22965の脆弱性対象外となります。
※なお、当脆弱性に対するACMS WebFramer本体の対応については現在検討中となります。

３．ACMS WebFramerの影響回避策
2.の2)にて記載しました通り、ACMS WebFramer v1.8.0～1.9.0を使用されており、且つ、WAS（Tomcat、TomEE）の実行環境として、JDK11を使用されている場合、当脆弱性の影響対象となりますので、実行環境をJDK８にダウングレードすることにより影響を回避できます。

４．その他
Spring Cloud Functionにつきましても、脆弱性情報が公開されましたが（CVE-2022-22963）、こちらにつきましては、ACMS WebFramer含め、弊社製品に影響はありません。

以上

【お問い合わせ】
株式会社データ・アプリケーション　営業本部
TEL：03-6370-0909　Email:sales@dal.co.jp