LOWCVE-2019-3802CVSS 3.5

Spring Data JPA Example matcherによる追加情報の漏洩

プラットフォーム

java

コンポーネント

spring-data-jpa

修正版

1.11.22.RELEASE

2.1.8.RELEASE

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2019-3802 は Spring Data JPA における脆弱性です。ExampleMatcher の特定の StringMatcher を使用する際、悪意のある入力によって想定以上の結果が返却される可能性があります。影響を受けるバージョンは 1.11 から 2.1.8.RELEASE までのバージョンです。この問題は 2.1.8.RELEASE 以降のバージョンで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者が悪意のあるExampleMatcher を作成することで、データベースから意図しないデータを取得することを可能にします。これにより、機密情報漏洩や、不正なデータ操作につながる可能性があります。特に、ExampleMatcher を使用して検索機能を実装しているアプリケーションにおいて、攻撃者は検索結果を操作し、機密情報にアクセスしたり、不正な操作を実行したりする可能性があります。この脆弱性は、Spring Data JPA を利用するエンタープライズアプリケーションや、Web アプリケーションに深刻な影響を与える可能性があります。

悪用の状況

この脆弱性は、CISA KEV カタログには登録されていません。現時点では、公開されている PoC は確認されていませんが、Spring Data JPA を利用しているアプリケーションは、この脆弱性に対する対策を講じる必要があります。NVD (National Vulnerability Database) には 2019年6月3日に公開されています。

リスク対象者翻訳中…

Applications utilizing Spring Data JPA versions 1.11 through 2.1.8.RELEASE, particularly those employing ExampleMatcher with STARTING, ENDING, or CONTAINING string matchers, are at risk. This includes web applications, microservices, and backend systems that rely on Spring Data JPA for data access.

検出手順翻訳中…

• java / server:

# Check Spring Data JPA version
java -jar your_application.jar | grep 'Spring Data JPA'

• java / server:

# Inspect application logs for unusually large query results or unexpected data retrieval.
# Look for patterns related to ExampleMatcher usage.

攻撃タイムライン

2019-06-03Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.24% (48% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントspring-data-jpa

ベンダーSpring

影響範囲修正版

1.11 – 1.11.201.11.22.RELEASE

2.0 – 2.0.142.1.8.RELEASE

2.1 – 2.1.62.1.8.RELEASE

弱点分類 (CWE)

CWE-155

タイムライン

予約済み2019-01-03
公開日2019-06-03
更新日2024-09-17
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、Spring Data JPA を 2.1.8.RELEASE 以降のバージョンにアップデートすることを推奨します。アップデートが困難な場合は、ExampleMatcher の使用を制限し、入力値の検証を強化することで、リスクを軽減できます。また、WAF (Web Application Firewall) を導入し、悪意のあるExampleMatcher の入力をブロックすることも有効です。アップデート後、アプリケーションの動作確認を行い、意図しない結果が返却されないことを確認してください。

修正方法

Spring Data JPAをバージョン2.1.8.RELEASE以上、またはバージョン1.11.22.RELEASE以上にアップデートしてください。これにより、悪意のある例示値によって予想以上に多くの結果が返される可能性のあるExampleMatcherの脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2019-3802 — 不正な結果返却の Spring Data JPA とは何ですか？

CVE-2019-3802 は、Spring Data JPA の ExampleMatcher における脆弱性で、悪意のある入力により想定以上の結果が返却される可能性があります。

CVE-2019-3802 で Spring Data JPA を利用している場合、影響を受けますか？

Spring Data JPA のバージョンが 1.11 から 2.1.8.RELEASE までの場合は影響を受けます。2.1.8.RELEASE 以降のバージョンにアップデートすることで修正されます。

CVE-2019-3802 を修正するにはどうすればよいですか？

Spring Data JPA を 2.1.8.RELEASE 以降のバージョンにアップデートしてください。アップデートが困難な場合は、ExampleMatcher の使用を制限し、入力値の検証を強化してください。

CVE-2019-3802 は現在積極的に悪用されていますか？

現時点では、公開されている PoC は確認されていませんが、Spring Data JPA を利用しているアプリケーションは、この脆弱性に対する対策を講じる必要があります。

CVE-2019-3802 に関する Spring Data JPA の公式アドバイザリはどこで確認できますか？

Spring Data JPA の公式アドバイザリは、Spring Security のウェブサイトで確認できます。