【漏洞预警】Spring框架远程命令执行漏洞 -- vulsee.com

漏洞名称：Spring框架远程命令执行漏洞

组件名称：Spring Framework

影响范围：

Spring Framework 5.3.x< 5.3.18

Spring Framework 5.2.x< 5.2.20

漏洞编号：CVE-2022-22965

漏洞类型：远程命令执行

利用条件：

1、使用Spring 框架以及衍生的框架

2、JDK>= 9.0

3、使用Apache Tomcat容器

4、存在spring-webmvc或spring-webflux依赖

综合评价：

<利用难度>：低

<威胁等级>：高危 能写入任意文件或执行命令获取服务器权限

#1 漏洞描述

Spring 是一款目前主流的 Java EE 轻量级开源框架，为JavaEE应用提供多方面的解决方案，用于简化企业级应用的开发。

近期锦行安全团队监测到Spring 框架存在远程命令执行漏洞，攻击者可利用该漏洞获取服务器控制权，目前漏洞相关利用poc/exp已经小范围公开，后续可能会造成大范围传播，造成严重危害。

#2 解决方案

目前，参照spring官方更新至安全版本（v5.3.18或v5.2.20），或者采用以下临时方案进行防护:

1、新建全局类，调用dataBinder.setDisallowedFields方法添加黑名单：

@ControllerAdvice@Order(Ordered.LOWEST_PRECEDENCE)public class BinderControllerAdvice {    @InitBinder    public void setAllowedFields(WebDataBinder dataBinder) {         String[] denylist = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};         dataBinder.setDisallowedFields(denylist);    }}

2、使用waf防护设备，根据实际业务情况实现对“class.*”“Class.*”“*.class.*”“*.Class.*”等相关字符串的规则过滤

3、临时回滚jdk版本至9以下，并注意其他漏洞影响情况。

#3 参考资料

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://github.com/spring-projects/spring-framework/tags

原文始发于微信公众号（锦行信息安全）：【漏洞预警】Spring框架远程命令执行漏洞

一	二	三	四	五	六	日
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

【漏洞预警】Spring框架远程命令执行漏洞 -- vulsee.com

相关推荐

微慑网

搜索

最新文章

随机文章

微慑标签

热门文章

信息资源

友情链接

域名

安全站点

工具

特效

本站信息

其他操作

赞助本站

微慑信息网专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

觉得文章有用就打赏一下文章作者

非常感谢你的打赏，我们将继续提供更多优质内容，让我们一起创建更加美好的网络世界！

支付宝扫一扫打赏

微信扫一扫打赏

切换注册登录

切换登录注册