CVE-2022-22965 Spring 高危漏洞通告!

admin
admin
admin
135603
文章
111
评论
2025年2月24日09:13:38评论27 views字数 1496阅读4分59秒阅读模式

CVE-2022-22965 Spring 高危漏洞通告!

前言

近日,在Spring官方看到这样一则通报:Spring相关框架中存在着远程代码执行漏洞,官方发布了Spring Framework 5.3.18和5.2.20的补丁修复了该漏洞,且依赖 Spring Framework 5.3.18 的 Spring Boot 2.6.6 和 2.5.12 已发布。
CVE-2022-22965 Spring 高危漏洞通告!
该漏洞会影响基于 JDK 9+ 上运行的 Spring WebFlux  和 Spring MVC应用程序。具体利用需要以应用程序作为 WAR 部署在 Tomcat 上运行。若应用程序被部署为 Spring Boot 可执行 jar,即为默认值,则不易受到该漏洞利用。
漏洞等级:严重漏洞编号:CVE-2022-22965受影响版本:Spring Framework 版本5.2.0 到 5.2.19、 5.3.0 到 5.3.17以及更早版本
官方公布的利用条件:
JDK版本:Jdk9+Servlet容器:Apache Tomcat部署方法:WAR部署依赖项:spring-webmvc 或者 spring-webflux 依赖项漏洞版本:Spring Framework 版本5.2.0 到 5.2.19、 5.3.0 到 5.3.17以及更早版本
该漏洞通过使用一个简单的request就可以顺利写入shell。攻击者便可利用该漏洞在服务器上写入日志,写入shell后就可以实现了远程代码执行。该漏洞POC很有可能已经被扩散了,有安全机构已经监测到了该攻击行为。建议使用了Spring框架组件的客户尽快排查是否受此漏洞影响,并及时采取措施防止漏洞攻击。
目前流传最广的POC中,payload包含特征如下:

CVE-2022-22965 Spring 高危漏洞通告!

漏洞排查

  • 对目前项目使用的jdk版本排查,如果jdk版本好<=8,暂不受漏洞影响。

  • 检查是否使用 sprig-beans-*.jar文件。

修复建议

官方修复建议

目前官方已发布补丁,可升级至安全版本(https://github.com/spring-projects/spring-framework/commit/002546b3e4b8d791ea6acccb81eb3168f51abb15)

临时修复建议:

使用waf防护的用户,可根据业务实际部署情况,添加对"class.module.*",".getRuntime()."字符串的规则过滤。在部署完毕后,要对规则测试,避免产生了不必要的影响。
在应用中全局搜索@InitBinder 注解时,看是否调用dataBinder.setDisallowedFields方法,若发现代码中调用了该方法,则需在原来的黑名单中添加"class.module.*"。注意:如果此代码片段使用的较多,需要每个地方都追加。
目前,该漏洞的poc及多种变种利用方式已经在网上传播。漏洞细节请参考官方漏洞公告。

Spring 官方漏洞公告如下:

(https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement)

原文来自「星阑科技」|侵删

CVE-2022-22965 Spring 高危漏洞通告!

CVE-2022-22965 Spring 高危漏洞通告!
中电运行是专业专注培养能源企业IT工匠和提供IT整体解决方案的服务商,也是能源互联网安全专家。
为方便大家沟通,中电运行开通“中电运行交流群”,诚挚欢迎能源企业和相关人士,以及对网络安全感兴趣的群体加入本群,真诚交流,互相学习CVE-2022-22965 Spring 高危漏洞通告!CVE-2022-22965 Spring 高危漏洞通告!。想加入我们就给我们留言吧CVE-2022-22965 Spring 高危漏洞通告!

CVE-2022-22965 Spring 高危漏洞通告!

CVE-2022-22965 Spring 高危漏洞通告!

小白必读!寰宇卫士手把手教你栈溢出(上)

手把手教你栈溢出(中)

手把手教你栈溢出(下)

《信息安全知识》之法律关键常识汇总

CTF经验分享|带你入门带你飞!

CVE-2022-22965 Spring 高危漏洞通告!

CVE-2022-22965 Spring 高危漏洞通告!

原文始发于微信公众号(寰宇卫士):CVE-2022-22965 Spring 高危漏洞通告!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月24日09:13:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2022-22965 Spring 高危漏洞通告!http://cn-sec.com/archives/863836.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息