Spring框架远程命令执行漏洞(CNVD-2022-23942)

最新推荐文章于 2025-02-21 11:09:21 发布
原创 最新推荐文章于 2025-02-21 11:09:21 发布 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #安全 #java

本文介绍了Spring框架的远程命令执行漏洞,该漏洞影响JDK 9及以上版本,引发业界广泛关注。尽管官方已发布修复方案,但在漏洞披露初期,网络上出现了大量钓鱼文件。博主分享了个人见解,认为此漏洞实际影响有限,主要针对自研平台。建议受影响的开发者进行自查并更新到最新版本Spring来修复问题。

前言

3月30日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞(CNVD-2022-23942)。该漏洞是继Apache Log4j2漏洞之后的又一严重漏洞事件,引起业界高度关注。该漏洞可能已被远程攻击者利用,漏洞威胁等级被定为高危、非常紧急。30日晚上朋友圈里更是像过年了一样,都在等一个poc。当天晚上呢这个漏洞的热度极高,也是出现了各种伪造成poc的钓鱼文件,目前呢官方也未给出修复方案。我先针对这个漏洞给出一点我自己的看法,第二天进行复现后发现呢,这个漏洞跟想象的不大一样,我个人觉得很鸡肋,当天聊起这个漏洞的时候就觉得这个漏洞是属于好用的,但是又没啥大用,不知道你们能不能明白我的意思,相对来说一些自研平台可能受影响会大一点。

漏洞简介

Spring是目前最受欢迎的开源轻量级Java框架,近日,Spring被曝存在RCE 0day漏洞。已经证实由于SerializationUtils#deserialize基于Java的序列化机制,可导致远程代码执行(RCE),使用JDK9及以上版本皆有可能受到影响。

漏洞影响范围

据了解,受漏洞影响的产品版本包括:

  1. JDK 版本号 9 及以上的;
  2. 使用了Spring 框架或衍生框架。建议开发者进行JDK版本号(注:如果版本号小于等于8,则不受漏洞影响)和Spring框架使用情况进行排查。

自查

在服务器中执行“java -version”命令查看运行的JDK版本,如果版本号小于等于8,则不受漏洞影响

修复方案

目前,Spring官方已发布新版本完成漏洞修复,CNVD建议受漏洞影响的产品(服务)厂商和信息系统运营者尽快进行自查,并及时升级至最新版本:https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
缓释方案
1.在应用中全局搜索@InitBinder注解,方法体中若调用dataBinder.setDisallowedFields,则在原来的黑名单中添加"class.","Class.", “.class.”, “.Class.”。
【注:如果此代码片段使用较多,需要每个地方都追加。】
2.若未发现,可通过@ControllerAdvice进行全局拦截,通过WebDataBinder中setDisallowedFields方法添加黑名单。参考代码:

importorg.springframework.web.bind.WebDataBinder;
importorg.springframework.web.bind.annotation.ControllerAdvice;
importorg.springframework.web.bind.annotation.InitBinder;

@ControllerAdvice
@Order(Ordered.LOWEST_PRECEDENCE)
public class BinderControllerAdvice {
    @InitBinder
    public voidsetAllowedFields(WebDataBinder dataBinder) {
         String[] denylist = newString[]{"class.*", "Class.*", "*.class.*","*.Class.*"};
        dataBinder.setDisallowedFields(denylist);
    }
}
spring框架漏洞整理(Spring Boot Actuator命令执行漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 1318
spring框架漏洞整理之CNVD-2019-11630 Spring Boot Actuator命令执行漏洞 https://www.veracode.com/blog/research/exploiting-spring-boot-actuators# 这个漏洞并不像是单一的问题产生,更像是一个渗透入侵的过程。有大概5个值得在意的知识点 1、Spring Boot 1-1.4,无需身份验证即可访问以下敏感路径,而在 2.x 中,存在于 /actuator 路径下。 /dump-显示线程转储(包括堆栈跟踪
Fastjson <1.2.24远程代码执行(CNVD-2017-02833 )
weixin_43071873的博客
10-29 1936
Fastjson <1.2.24远程代码执行(CNVD-2017-02833 ) 漏洞详情 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 影响版本 fastjson <=1.2.24 漏洞利用 靶机:192.168.118.147:8090 kali docker搭建的漏洞环境 攻击机:192.168.118.1 win10 访问存在漏洞的页面,得到json格
spring framework远程代码执行漏洞复现(CNVD-2022-23942 CVE-2022-22965)
yang1234567898的博客
04-18 7345
3 月 30 日,国家信息安全漏洞共享平台(CNVD)接收到蚂蚁科技集团股份有限公司报送的 Spring 框架远程命令执行漏洞CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。CNVD 对该漏洞的综合评级为“高危”。 漏洞影响: JDK9+ 使用了 Spring 框架或衍生框架 Apache Tomcat 作为 Servlet 容器 spring-webmvc 或 spring-webflux 依赖 Spring Framework 版本 5.3.0..
Vulfocus复现Spring框架远程命令执行漏洞CNVD-2022-23942
Aquarius_ego的博客
05-16 2018
Vulfocus复现Spring框架远程命令执行漏洞CNVD-2022-23942)/spring-core-rce-2022-03-29
CVE-2022-22965 Spring远程代码执行漏洞复现
weixin_45260839的博客
05-22 4169
CVE-2022-22965 Spring远程代码执行漏洞复现
Spring Framework远程代码执行漏洞
m0_71745903的博客
01-11 886
2022年3月30日,国家信息安全漏洞共享平台(CNVD)发布了Spring框架远程命令执行漏洞(攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,此漏洞POC、技术细节及EXP已大范围公开,此漏洞影响范围极大。目前Spring官方已发布补丁修复该漏洞,强烈建议Spring框架用户立即更新至最新版本。
Spring远程命令执行漏洞
Where_dWanaGo的博客
04-01 648
Spring远程命令执行漏洞 title: spring漏洞记录 subtitle: spring漏洞记录 url:https://radarsoftware.cn/ tags: spring categories: spring Spring漏洞 转载地址:https://mp.weixin.qq.com/s/BnF8CWuUxNliCoa260bEaA Spring RCE (远程代码执行漏洞)已被官方证实。 国家信息安全漏洞平台:https://mp.weixin.qq.com/s/BnF8
Spring框架存在远程命令执行(CVE-2022-22965)漏洞
m0_74080781的博客
02-21 1054
CE2022965是一个较老但当时非常流行的动作工具,功能丰富,基于框架。 2.该工具可以做很多事情,包括配合log进行高版本GDP过滤。 3.ce2022965的版本号有其特殊规则,副版本号不能超过9.999.0.66,主版本号必须大于1.8。漏洞利用条件1. 检测是否使用Spring框架,若未使用,则不存在该漏洞。2. 检查项目是否使⽤Spring参数绑定,若未使用,则不存在该漏洞。3. 检查中间件使用的JDK版本,若版本号小于9,则不存在该漏洞。利用jdk9+的新特性,也就是module机制...
Spring 远程命令执行漏洞分析(CVE-2022-22965)
weixin_43263451的博客
08-14 4486
最近想学习学习spring框架方面的漏洞。刚好今年上半年爆了一个spring框架远程命令执行漏洞,随即赶紧来分析一波这个漏洞总的来说是因为:通过spring参数绑定处存在的缺陷使得可以修改tomcat的日志记录相关类AccessLogValve的成员变量从而达到修改tomcat日志记录的配置,最终导致写入jsp马class.module.classLoader.resources.context.parent.pipeline.first.pattern=此处为webshell内容............
Spring远程命令执行漏洞的简单概要
m0_50579386的博客
04-10 417
2022 年 3 月 31日,国家信息安全漏洞共享平台(CNVD)收录了 Spring 框架远程命令执行漏洞,并发布了关于 Spring 框架存在远程命令执行漏洞安全公告,安全公告编号:CNTA-2022-0009,POC、EXP等漏洞利用细节已经公开,建议受影响的用户自查安全工作。
CVE-2016-4977(Spring-Security-Oauth)RCE远程命令执行漏洞复现(超详细版!)
精品博客,你值得一看~
09-02 2182
它是为了解决企业应用开发的复杂性而创建的。Spring Security OAuth2处理认证请求的时候如果使用了whitelabel视图,response_type参数值会被当做Spring SpEL来执行,恶意攻击者通过构造response_type值可以触发远程代码执行漏洞。#按 " i "进行编辑 ,然后复制下面的脚本 , 再按 " Esc "键 ,再按冒号wq " :wq " 保存并退出.先cd到spring目录下的CVE-2016-4977里面,然后使用docker-compose启动环境.
【干货】Spring远程命令执行漏洞(CVE-2022-22965)原理分析和思考
qq_53058639的博客
07-22 1862
上周网上爆出Spring框架存在RCE漏洞,野外流传了一小段时间后,Spring官方在3月31日正式发布了漏洞信息,漏洞编号为CVE-2022-22965。本文章对该漏洞进行了复现和分析,希望能够帮助到有相关有需要的人员进一步研究。
漏洞分析】Spring远程代码执行漏洞解决方案
olga5abl的博客
04-02 4409
干货!对漏洞排查&处置建议的全面分析
Nette框架未授权任意代码执行漏洞分析
小小猪的博客
11-13 931
Nette框架未授权任意代码执行漏洞分析 漏洞介绍: Nette Framework 是个强大,基于组件的事件驱动 PHP 框架,用来创建 web 应用。Nette Framework 是个现代化风格的 PHP 框架,主要用于国外网站开发,因此国内对该框架的研究比较少。2020年10月,Nette框架被爆出存在未授权任意代码执行漏洞,可通过自有框架控制器MicroPresenter执行任意PHP方法。 环境复现: 通过查询发现该漏洞影响自2.0以来的几乎所有大版本,详细的范围如下 nett..
vulfocus复现:Spring Framework 远程命令执行漏洞
woai_zhongguo的博客
07-18 1663
vulfocus复现:Spring Framework 远程命令执行漏洞
2022.3.30安全漏洞Spring Framework远程代码执行漏洞
m0_71745484的博客
01-13 541
2022年3月30日,CNVD发布了Spring框架远程命令执行漏洞
针对Spring框架存在远程命令执行漏洞的升级
weixin_44614149的博客
04-01 1189
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一、查看项目spring版本二、升级方式总结 前言:2022年3月30日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,漏洞利用细节已大范围公开,Spring官方已发布补丁修复该漏洞CNVD建议受影响的单位和用户立即更新至最新版本。现对项目的修改升级做一下记录,也方便还不知道如何升级的小伙伴一起学习。 一、查看.
禅道CNVD-2022-42853sql注入漏洞
最新发布
08-08
禅道系统中编号为 CNVD-2022-42853 的 SQL 注入漏洞属于一种高危安全问题,攻击者可以通过构造恶意输入绕过应用程序的输入验证机制,将恶意 SQL 语句注入到后端数据库中执行,从而获取、篡改或删除敏感数据。此类漏洞通常出现在未正确过滤或转义用户输入的模块中,尤其在涉及数据库查询的接口中更为常见。 该漏洞的成因主要与禅道系统的输入验证机制不完善有关。例如,某些模块在处理用户提交的数据时未对特殊字符进行充分过滤,或者在构建 SQL 查询语句时直接拼接用户输入,导致攻击者可以构造恶意输入来操控数据库查询逻辑。由于禅道系统属于后台授权类项目管理软件,攻击者通常需要具备一定的账户权限才能触发该漏洞[^1]。 针对该漏洞,官方提供的修复方案主要包括以下几个方面: 1. **更新至官方修复版本**:禅道官方在发现该漏洞后已发布修复版本,建议用户尽快将系统升级至 16.5 及以上版本,以确保安全补丁生效。 2. **增强输入过滤机制**:对所有用户输入进行严格的合法性校验,尤其是涉及数据库操作的接口,应使用参数化查询(Prepared Statement)或 ORM 框架,避免直接拼接 SQL 语句。 3. **最小权限原则配置数据库账户**:确保应用程序连接数据库时使用权限受限的账户,避免使用具有高权限的数据库用户进行操作,以降低攻击者利用漏洞后的破坏范围。 4. **启用 Web 应用防火墙(WAF)**:部署具备 SQL 注入检测与拦截能力的安全防护设备或服务,对异常请求进行实时阻断。 以下是参数化查询的一个 Python 示例,使用 `pymysql` 库防止 SQL 注入攻击: ```python import pymysql # 连接数据库 connection = pymysql.connect(host='localhost', user='db_user', password='db_password', database='禅道数据库') try: with connection.cursor() as cursor: # 使用参数化查询防止 SQL 注入 user_input = "恶意输入'; DROP TABLE users; --" sql = "SELECT * FROM users WHERE username = %s" cursor.execute(sql, (user_input,)) result = cursor.fetchall() print(result) finally: connection.close() ``` 该代码通过将用户输入作为参数传递给 SQL 查询,而不是直接拼接字符串,从而有效防止 SQL 注入攻击。 在 HW 攻防演练中,此类漏洞常被红队用于突破企业边界防护,因此企业应高度重视历史漏洞的修复与资产梳理工作[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ba1s1r

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值