微慑信息网

【漏洞预警】Spring框架远程命令执行漏洞 — vulsee.com

【漏洞预警】Spring框架远程命令执行漏洞

漏洞名称:Spring框架远程命令执行漏洞

组件名称:Spring Framework

影响范围:

Spring Framework 5.3.x< 5.3.18

Spring Framework 5.2.x< 5.2.20

漏洞编号:CVE-2022-22965

漏洞类型:远程命令执行

利用条件:

1、使用Spring 框架以及衍生的框架

2、JDK>= 9.0

3、使用Apache Tomcat容器

4、存在spring-webmvc或spring-webflux依赖

综合评价:

<利用难度>:低

<威胁等级>:高危  能写入任意文件或执行命令获取服务器权限

#1 漏洞描述

Spring 是一款目前主流的 Java EE 轻量级开源框架,为JavaEE应用提供多方面的解决方案,用于简化企业级应用的开发。
近期锦行安全团队监测到Spring 框架存在远程命令执行漏洞,攻击者可利用该漏洞获取服务器控制权,目前漏洞相关利用poc/exp已经小范围公开,后续可能会造成大范围传播,造成严重危害。

#2 解决方案

目前,参照spring官方更新至安全版本(v5.3.18或v5.2.20),或者采用以下临时方案进行防护: 
1、新建全局类,调用dataBinder.setDisallowedFields方法添加黑名单:
@ControllerAdvice@Order(Ordered.LOWEST_PRECEDENCE)public class BinderControllerAdvice {    @InitBinder    public void setAllowedFields(WebDataBinder dataBinder) {         String[] denylist = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};         dataBinder.setDisallowedFields(denylist);    }}

2、使用waf防护设备,根据实际业务情况实现对“class.*”“Class.*”“*.class.*”“*.Class.*”等相关字符串的规则过滤
3、临时回滚jdk版本至9以下,并注意其他漏洞影响情况。

#3 参考资料

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://github.com/spring-projects/spring-framework/tags

 

 

 

原文始发于微信公众号(锦行信息安全):【漏洞预警】Spring框架远程命令执行漏洞

本文标题:【漏洞预警】Spring框架远程命令执行漏洞 — vulsee.com
本文链接:
(转载请附上本文链接)
https://vulsee.com/archives/vulsee_2022/0401_16266.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 【漏洞预警】Spring框架远程命令执行漏洞 — vulsee.com
分享到: 更多 (0)

微慑信息网 专注工匠精神

访问我们联系我们