Spring是2003年兴起的轻量级Java开发框架,任何Java应用都可以使用该框架的核心特性,在Java EE平台之上有可用于构建Web应用的扩展。
而这里的Spring Boot则是Spring框架的一个核心子项目,是为构建独立、生产级Spring应用的约定优于配置(convention-over-configuration)解决方案。绝大部分Spring Boot应用都只需要极少的Spring配置即可。
目前,国内包括百度、阿里巴巴、腾讯等诸多知名企业都在使用该框架。
1漏洞分析
高危漏洞的曝光总是发生在意想不到的时刻,近日,Spring Boot框架的SpEL表达式注入通用漏洞曝光,利用该漏洞,远程攻击者在服务器上可执行任意命令。
2影响范围
Spring Boot 1.1-1.3.0
3修复方案
• 升级Spring Boot版本至1.3.1或以上版本
• 使用漏洞盒子及网藤风险感知提供预警与检测。
网藤风险感知-crs.vulbox.com
网藤风险感知是由斗象科技完全自主研发,基于SaaS模式的自动化企业安全风险感知服务平台,以全局视角侦查企业边界与风险资产,全面提升企业对风险的感知能力。
点击原文,立即申请免费试用网藤
原文始发于微信公众号(漏洞盒子VulBox):漏洞预警 | Spring Boot框架表达式注入漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论