【漏洞复现】SpringCore1day漏洞复现

目前已知，触发该漏洞需要满足两个基本条件

• 使用JDK9及以上版本的Spring MVC框架

• Spring 框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class

|0x1 漏洞介绍

作为目前全球最受欢迎的Java轻量级开源框架，Spring允许开发人员专注于业务逻辑，简化Java企业级应用的开发周期。

但在Spring框架的JDK9版本（及以上版本）中，远程攻击者可在满足特定条件的基础上，通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值，从而触发pipeline机制并 写入任意路径下的文件。

|0x2 影响版本

Java JDK9+ 版本

|0x3 漏洞复现

3月20日 SpringCore0day漏洞预警，想等等看看大家的反应，结果都是朋友圈吃瓜的群众。本次漏洞还是低版本JDK JNDI漏洞影响，这次影响事件在Log4j2以后明显减弱，这是因为当时Log4j2爆出以后大家升级了JDK高级版本，躲过一劫。RCS-TEAM安全团队 在几位核心成员积极响应下也在第一时间进行漏洞复现以及Poc Exp的研究。

浏览器打开

显示OK表示我们测试通过，进入到容器中 也就是我们 靶机

目前ROOT目录下内容 只有META-INF WEB-INF  org

执行Exp写入内容成功！

浏览器中打开

 http://10.0.0.133:8080/tomcatwar.jsp?pwd=pass&cmd=whoami

|0x4 修复建议

4.1 目前Spring还没有给出修复方案,从Spring Git来看，目前该团队正在想办法修复该漏洞。

4.2 临时解决方案

解决方案（临时）：

目前Spring官方并没有发布与此漏洞相关的补丁文件，相关漏洞POC也暂未被公开。考虑到自3月29日起已在小范围传播，鉴于Spring MVC的广泛应用，各企业仍需警惕远程攻击者，并采用广东省网络安全应急响应中心公布临时方案加强防护。FreeBuf将密切关注Spring官方的补丁发布情况。

临时方案1：WAF临时策略

在WAF等网络防护设备上，根据实际部署业务的流量情况，实现对

“class.*”，“Class.*”，“*.class.*”，“*.Class.*”

等字符串的规则过滤，并在部署过滤规则后，对业务允许情况进行测试，避免产生额外影响。

临时方案2：临时缓解措施

在应用系统的项目包下新建以下全局类，并保证这个类被Spring 加载到(推荐在Controller 所在的包中添加).完成类添加后，需对项目进行重新编译打包和功能验证测试。并重新发布项目。

import org.springframework.core.annotation.Order; import org.springframework.web.bind.WebDataBinder; import org.springframework.web.bind.annotation.ControllerAdvice; import org.springframework.web.bind.annotation.InitBinder; @ControllerAdvice @Order(10000) public class a{ @InitBinder public void setAllowedFields(WebDataBinder dataBinder) { String[] abd = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"}; dataBinder.setDisallowedFields(abd); } }

~了解更多安全技术请关注我们~

原文始发于微信公众号（小白嘿课）：【漏洞复现】SpringCore1day漏洞复现