详情参考https://github.com/spring-projects/spring-framework/commit/7f7fb58dd0dae86d22268a4b59ac7c72a6c22529
排查建议参考:
关于Spring Core 未知RCE0day 判断是否存在利用条件:
1、JDK 9.0 +
2、Spring 框架以及衍生的框架
spring-beans-*.jar 文件 或者 存在 CachedIntrospectionResults.class
防御1:WAF
1、WAF中实现对 class.*, Class.*, *.class.*, *.Class.* 字符串的规则过滤,【参数名中出现】
临时修复:
全局搜索 @InitBinder注解,判断方法体内是否有dataBinder.setDisallowedFields方法,
如果有使用则在原来的黑名单中添加:
{"class.*","Class.*","*.class.*","*.Class.*"}
原文始发于微信公众号(数据安全合规交流部落):[漏洞预警]Spring Core RCE0day
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论