［漏洞预警］Spring Core RCE0day

2022年3月30日10:02:43评论207 views字数 465阅读1分33秒阅读模式

详情参考https://github.com/spring-projects/spring-framework/commit/7f7fb58dd0dae86d22268a4b59ac7c72a6c22529

排查建议参考：

关于Spring Core 未知RCE0day 判断是否存在利用条件：
1、JDK 9.0 +
2、Spring 框架以及衍生的框架
spring-beans-*.jar 文件或者存在 CachedIntrospectionResults.class

防御1：WAF
1、WAF中实现对 class.*， Class.*， *.class.*， *.Class.* 字符串的规则过滤，【参数名中出现】

临时修复:

全局搜索 @InitBinder注解，判断方法体内是否有dataBinder.setDisallowedFields方法，
如果有使用则在原来的黑名单中添加：
{"class.*","Class.*","*.class.*","*.Class.*"}

原文始发于微信公众号（数据安全合规交流部落）：［漏洞预警］Spring Core RCE0day

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

JeeWMS cgAutoListController.do SQL注入漏洞