0x00 漏洞情况

Spring Framework框架存在远程代码执行漏洞，未经授权的远程攻击者可构造恶意请求在目标系统上执行任意代码，此漏洞为Spring framework远程代码执行漏洞（CVE-2010-1622）的绕过利用。

0x01 受影响版本

Spring Framework < 5.3.18

Spring Framework < 5.2.20

0x02 漏洞利用条件

JDK9及其以上版本

使⽤了Spring-beans包在受影响范围

Spring参数绑定使⽤了⾮基本参数类型，如POJO

0x03 修复建议

1、临时修复措施

WAF等网络防护设备上，根据实际部署业务的流量情况，实现对“class. * ” ，“Class.*”，“*.class.*”，“*.Class.*”等字符串的规则过滤，并在部署过滤规则后，对业务运行情况进行测试，避免产生额外影响。

2、官方升级

目前官方已发布新版本5.2.20.RELEASE与5.3.18修复此漏洞，请受影响的用户尽快更新进行防护。

下载链接：https://github.com/spring-projects/spring-framework/releases

原文始发于微信公众号（非曰安全）：Spring框架远程代码执行漏洞