01
漏洞描述
Spring框架(Framework)是一个开源的轻量级J2EE应用程序开发框架,提供了IOC、AOP及MVC等功能,解决了程序人员在开发中遇到的常见问题,提高了应用程序开发便捷度和软件系统构建效率。
3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于Java的序列化机制,可导致远程代码执行,使用JDK 9及以上版本皆有可能受到影响.
02
漏洞危害
Spring框架远程命令执行漏洞。由于Spring框架存在处理流程缺陷,攻击者可在远程条件下,实现对目标主机的后门文件写入和配置修改,继而通过后门文件访问获得目标主机权限。使用Spring框架或衍生框架构建网站等应用,且同时使用JDK版本在9及以上版本的,易受此漏洞攻击影响。
03
影响范围
jdk9+
Spring Framework < 5.3.18
Spring Framework < 5.2.20
04
漏洞等级
高危
05
复现结果
06
修复方案
目前官方已针对此漏洞发布修复补丁,请受影响的用户尽快更新进行防护,官方链接:
https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】Spring框架远程代码执行漏洞(CVE-2022-22965)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论