点击上方蓝字关注我们!
2022年4月1日,嘉诚安全监测到Spring官方修复了Spring Framework中的远程代码执行漏洞,漏洞编号为:CVE-2022-22965。
Spring Framework是一个开源应用框架,旨在降低应用程序开发的复杂度。它是轻量级、松散耦合的。它具有分层体系结构,允许用户选择组件,同时还为J2EE应用程序开发提供了一个有凝聚力的框架。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
在JDK 9+上运行的 Spring MVC 或 Spring WebFlux应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击,该漏洞由于JDK 9+中新添加的函数绕过了Spring CachedIntrospectionResults对ClassLoader获取的限制,导致可以获取到任意ClassLoader,攻击者可以通过发送精心构造的数据请求来注入恶意属性触发漏洞,导致远程代码执行的漏洞风险。
通用修复建议:
目前,Spring官方已经在5.2.20,5.3.18版本修复上述漏洞,用户请及时升级到安全版本,下载链接请参考:
https://github.com/spring-projects/spring-framework/tags
相关链接请参考:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
原文始发于微信公众号(嘉诚安全):【漏洞通告】Spring Framework 远程代码执行漏洞第二次安全风险通告
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论