# CVE-2022-22965 - セキュリティ脆弱性Spring4shell - Spring Framework
## 脆弱性に関する声明
Spring4Shellソフトウェアの脆弱性報告を受けた後、Nexthinkセキュリティチームはシステムへの影響を判断するための分析を行いました。
## 脆弱性の概要
* Spring Frameworkは、Javaプラットフォーム向けのアプリケーションフレームワークおよび制御の反転コンテナです。
* 2022年3月31日に、Spring Frameworkに影響を与える重大な脆弱性(CVE-2022-22965)が報告され、ベンダーからのパッチが提供されました。
* この脆弱性は、野生で広く悪用されています。
## Collectorとクライアント側のコンポーネントは影響を受けたか?
Collectorとクライアント側のコンポーネント(Finder、Data Enricher、Event Connector、チャットボットSDK)は、影響を受けたライブラリを使用していません。
## Nexthink Experienceプラットフォームは影響を受けたか?
クラウドベースのコンポーネントは、影響を受けた構成内でライブラリを使用していません。
## Nexthinkの企業ネットワークとサプライチェーンは影響を受けたか?
セキュリティチームは、第三者ベンダーと共同で脆弱性評価を行い、この脆弱性が提供されるサービスに影響を与えないことを確認しました。
## Nexthinkはどのようにして製品の脆弱性対策を行っているか?
エンジニアリングセキュリティポリシーおよび脆弱性管理ポリシー(NDAの下で共有可能)は、これらの脆弱性を検出し、軽減し、パッチを適用するために適用する高レベルの原則を説明しています。 安全なソフトウェア開発ライフサイクルは、セキュリティプログラムの不可欠な部分です。 Nexthinkは、製品およびクラウド提供のリリースに至るまで、初期設計段階からの脆弱性を検出するために複数のセキュリティコントロールを実装しました。 それは、設計レビュー、各種コンポーネントの侵入テスト、脆弱性スキャン、サードパーティライブラリの評価、コードレビューを含みますが、それに限定されません。
## 参考資料
[https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement](https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcementを参照してください)
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.nexthink.com/platform/ja/security/security-bulletins/cve-2022-22965-security-vulnerability-spring4shell-spring-framework.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.