【漏洞预警】Spring框架远程命令执行漏洞

admin
admin
admin
102369
文章
87
评论
2022年4月1日00:23:50评论83 views字数 1111阅读3分42秒阅读模式
【漏洞预警】Spring框架远程命令执行漏洞

漏洞名称:Spring框架远程命令执行漏洞

组件名称:Spring Framework

影响范围:

Spring Framework 5.3.x< 5.3.18

Spring Framework 5.2.x< 5.2.20

漏洞编号:CVE-2022-22965

漏洞类型:远程命令执行

利用条件:

1、使用Spring 框架以及衍生的框架

2、JDK>= 9.0

3、使用Apache Tomcat容器

4、存在spring-webmvc或spring-webflux依赖

综合评价:

<利用难度>:低

<威胁等级>:高危  能写入任意文件或执行命令获取服务器权限


#1 漏洞描述

Spring 是一款目前主流的 Java EE 轻量级开源框架,为JavaEE应用提供多方面的解决方案,用于简化企业级应用的开发。
近期锦行安全团队监测到Spring 框架存在远程命令执行漏洞,攻击者可利用该漏洞获取服务器控制权,目前漏洞相关利用poc/exp已经小范围公开,后续可能会造成大范围传播,造成严重危害。


#2 解决方案

目前,参照spring官方更新至安全版本(v5.3.18或v5.2.20),或者采用以下临时方案进行防护: 
1、新建全局类,调用dataBinder.setDisallowedFields方法添加黑名单:
@ControllerAdvice@Order(Ordered.LOWEST_PRECEDENCE)public class BinderControllerAdvice {    @InitBinder    public void setAllowedFields(WebDataBinder dataBinder) {         String[] denylist = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};         dataBinder.setDisallowedFields(denylist);    }}


2、使用waf防护设备,根据实际业务情况实现对“class.*”“Class.*”“*.class.*”“*.Class.*”等相关字符串的规则过滤
3、临时回滚jdk版本至9以下,并注意其他漏洞影响情况。


#3 参考资料


https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://github.com/spring-projects/spring-framework/tags



【漏洞预警】Spring框架远程命令执行漏洞
推 荐 阅 读





漏洞预警 | 向日葵远程命令执行漏洞

Java代审6:XSS和SSRF


【漏洞预警】Spring框架远程命令执行漏洞


原文始发于微信公众号(锦行信息安全):【漏洞预警】Spring框架远程命令执行漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月1日00:23:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Spring框架远程命令执行漏洞http://cn-sec.com/archives/860571.html

发表评论

匿名网友 填写信息