漏洞描述:
Spring Framework是一个开源应用框架,旨在降低应用程序开发的复杂度。它是轻量级、松散耦合的。它具有分层体系结构,允许用户选择组件,同时还为 J2EE 应用程序开发提供了一个有凝聚力的框架。
Spring Framework存在远程代码执行漏洞(CVE-2022-22965),在 JDK 9 及以上版本环境下,远程攻击者可利用该漏洞写入恶意代码导致远程代码执行。此漏洞POC、技术细节及EXP已公开。
影响范围:
Spring框架
5.3.0 至 5.3.17
5.2.0 至 5.2.19
旧的、不受支持的版本也会受到影响
漏洞危害性:
CVSS评分划归为9.8
利用的先决条件:
JDK 9 +版本
Apache Tomcat 作为容器
spring-webmvc 或 spring-webflux 使用项
是否已有可疑公网POC:
有,已公开
修复方案:
目前,Spring官方已发布漏洞修复版本,请用户及时更新至最新版本。
https://github.com/spring-projects/spring-framework/tags
安全版本:
Spring Framework == 5.3.18
Spring Framework == 5.2.20
相关及官方通报参考链接
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
原文始发于微信公众号(XDsecurity):CVE-2022-22965Spring Framework远程代码执行漏洞情况通报
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论