Spring RCE远程执行漏洞(CVE-2022-22965)

原创 已于 2022-11-25 17:38:01 修改 · 2.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #jvm #web安全

于 2022-10-18 17:44:28 首次发布

Spring RCE远程执行漏洞(CVE-2022-22965)

这个洞22年3月底被大佬发现公布,由于Spring框架的影响范围太大了。复现条件又很低,本身就是高危的RCE漏洞可以直接拿到服务器的shell,像作者说的一样确实是一个核弹漏洞。

影响范围

JDK>8

Spring Framework<5.3.18

Spring Framework<5.2.20

条件

类对象中有get/set方法

Spring controller接口中有对象传入

漏洞原理

User类,有name和Department两个属性

public class User {
   
   
    private String name;
    private Department department;public String getName() {
   
   
        return name;
    }public void setName(String name) {
   
   
        this.name = name;
    }public Department getDepartment() {
   
   
        return department;
    }public void setDepartment(Department department) {
   
   
        this.department = department;
    }}

Department类具有name属性

public class Department {
   
   
    private String name;

    public String getName() {
   
   
        return name;
    }

    public void setName(String name) {
   
   
        this.name = name;
    }
}

一会准备测试的接口,注意:其中并没有调用User的get/set方法

@Controller
public class UserController {
   
   
    @RequestMapping("/testUser")
    public @ResponseBody String testUser(User user) {
   
   
        System.out.println("==testUser==");
        return "OK";
    }
}

打断点后DEBUG启动

在这里插入图片描述
携带参数请求该接口

http://localhost:8888/testUser?name=tpa&department.name=code

User对象没有调用get/set方法但其属性却有了值,这是因为Spring的参数绑定特性,而department.name则是多级绑定。(若department中也存在一个具备name属性的area对象,传入参数department.area.name其属性也会更改。)实际上department.name在后台的调用链路为

User.getDepartment() => Department.setName()

department.area.name则为

User.getDepartment() => Department.getArea() => Area.setName()

在这里插入图片描述
因为是封装类private私有属性,能更改类的属性不直接调用get/set肯定是通过反射了。而JDK自带的一个类PropertyDescriptor就可以通过反射来获取设置对象的属性。实现Spring框架参数绑定自动调用get/set方法的关键类BeanWrapperImpl就是对其进行的封装。

public class PropertyDescriptorTest {
   
   
    public static void main(<
最低0.47元/天 解锁文章

200万优质内容无限畅学
Spring RCE 漏洞 CVE-2022-22965 的终极解决方案
oscar999的专栏
04-01 1万+
Spring框架爆出的RCE远程命令执行漏洞,现在这个漏洞有了统一的编号: **CVE-2022-22965**。 这个漏洞的主要原因是在JDK 9+版本里,Spring MVC 的数据绑定时出现的漏洞
Spring Rce 漏洞分析CVE-2022-22965
embelfe_segge的博客
08-02 4031
SpringFramework是一个开源的轻量级J2EE应用程序开发框架。3月31日,VMware发布安全公告,修复了SpringFramework中的远程代码执行漏洞CVE-2022-22965)。在JDK9及以上版本环境下,可以利用此漏洞在未授权的情况下在目标系统上写入恶意程序从而远程执行任意代码。...
Spring 远程命令执行漏洞分析(CVE-2022-22965
weixin_43263451的博客
08-14 4416
最近想学习学习spring框架方面的漏洞。刚好今年上半年爆了一个spring框架的远程命令执行漏洞,随即赶紧来分析一波这个漏洞总的来说是因为:通过spring参数绑定处存在的缺陷使得可以修改tomcat的日志记录相关类AccessLogValve的成员变量从而达到修改tomcat日志记录的配置,最终导致写入jsp马class.module.classLoader.resources.context.parent.pipeline.first.pattern=此处为webshell内容............
CVE-2022-22965漏洞复现
最新发布
q18217810766的博客
06-11 470
攻击者通过精心构造的 HTTP 请求参数,利用 Spring 自动绑定对象属性的特性,修改 Tomcat 日志配置相关对象的敏感属性(如日志路径、文件名、内容格式等),最终实现远程代码执行。攻击者通过参数构造多级属性路径(如class.module.classLoader.resources.context.parent.pipeline.first.pattern),逐层访问到 Tomcat 的AccessLogValve对象,修改其日志配置属性(如pattern、directory等)。
Spring Framework远程代码执行漏洞CVE-2022-22965
qq_50854662的博客
06-27 1221
Spring Framework远程代码执行漏洞CVE-2022-22965
Spring远程命令执行漏洞
Where_dWanaGo的博客
04-01 509
Spring远程命令执行漏洞 title: spring漏洞记录 subtitle: spring漏洞记录 url:https://radarsoftware.cn/ tags: spring categories: spring Spring漏洞 转载地址:https://mp.weixin.qq.com/s/BnF8CWuUxNliCoa260bEaA Spring RCE远程代码执行漏洞)已被官方证实。 国家信息安全漏洞平台:https://mp.weixin.qq.com/s/BnF8
Spring框架(Framework)存在远程命令执行漏洞
qq_20025777的博客
08-31 714
Spring框架存在远程命令执行漏洞
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
2022年,Spring Framework 发现了一个严重的远程命令执行RCE漏洞,被称为CVE-2022-22965,也被称为“Spring4Shell”。这个漏洞对使用Spring Framework的应用程序构成了重大威胁,因为攻击者可以利用它来执行...
Spring Cloud Gateway RCE漏洞原理分析与复现(CVE-2022-22947)
日常技术分享
10-16 8249
Spring Cloud Gateway RCE漏洞原理分析与复现(CVE-2022-22947)
Spring 框架远程代码执行漏洞CVE-2022-22965
panda的博客
04-08 4972
Spring 框架远程代码执行漏洞(CVE-2022-22965)
Spring Framework JDK >= 9 远程代码执行漏洞CVE-2022-22965
Flag少侠的博客
07-15 1万+
打开靶场什么都没有网上查找到了 Poctry:print(e)passExploit(i)main()requests: 用于发送HTTP请求。argparse: 用于解析命令行参数。urljoin: 用于将基础URL与相对路径组合成一个完整的URL。headers: 设置HTTP请求头。suffix: 指定生成的JSP文件的结束标记。c1和c2: 替换变量,用于在请求数据中插入Runtime和
Spring RCE 漏洞 CVE-2022-22965复现分析
m0_61506558的博客
09-19 6111
关于CVE-2022-22965漏洞的环境调试和内容,网上看了一波,感觉有些知识点内容还是必须要了解才能理解该漏洞,为此详细写了下从Spring框架结构分析,环境搭建到漏洞分析调试整体的一个过程理解,在遇到其他类型的漏洞也可以去调试运用。(一)了解Spring框架由于本文主要介绍漏洞原理流程,所以有关框架不会具体展开,会将涉及到的内容进行解释。1、
Spring远程代码执行漏洞(CVE-2022-22965)
huangyongkang666的博客
04-15 1117
Spring远程代码执行漏洞(CVE-2022-22965) 1.漏洞介绍 Spring framework 是Spring 里面的一个基础开源框架,其目的是用于简化 Java 企业级应用的开发难度和开发周期,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。 漏洞影响范围: Spring Fr
Spring Framework RCE 漏洞分析 (CVE-2022-22965)
m0_61506558的博客
11-07 2001
漏洞的本质类似于php的变量覆盖漏洞,exp利用的话,恰好覆盖到tomcat的配置,并修改tomcat的日志位置到根目录,修改日志的后缀为jsp。但是这里叫SpringMVC的参数绑定。 由于笔者个人水平有限,行文如有不当,还请各位师傅评论指正,非常感谢!
Spring RCE漏洞分析与编程学习
IELLQUI8的博客
09-23 186
为了防止此类漏洞的发生,开发人员应该采取适当的安全措施,如限制反序列化的类、及时更新Spring RCE Vulnerability Analysis and Programming Learning。当应用程序使用Spring框架处理用户提供的数据时,如果没有适当的安全措施,攻击者可以构造恶意代码并注入到应用程序中,从而实现远程执行任意代码的能力。当Spring框架反序列化用户提供的数据时,如果没有正确地验证和控制数据的内容,攻击者可以构造特定的序列化对象,触发远程代码执行2.1. 限制反序列化的类。
Spring 框架RCE 安全漏洞及解决方式
oscar999的专栏
03-31 1万+
SpringShell: Spring Core RCE 0-day Vulnerability”。 这个漏洞是一个RCE漏洞RCE (remote command/code execute),远端命令执行, 也就是可以在远端控制服务器,相当于一个命令窗口,类似于linux 的Shell , 所以被称为 SpringShell。
CVE-2022-22965Spring远程代码执行漏洞
热门推荐
一只爱吃橙子的羊
04-09 4万+
CVE-2022-22965Spring Framework远程代码执行漏洞
安全通报】Spring Framework 远程命令执行漏洞CVE-2022-22965
Hanko的专栏
04-02 3974
原文: https://nosec.org/home/detail/4983.html 近日,Spring 官方 GitHub issue中提到了关于 Spring Core 的远程命令执行漏洞,该漏洞广泛存在于Spring 框架以及衍生的框架中。 漏洞描述 Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。 未经身份验证的攻击者可以使用此漏洞进行远程任意代码执
cve-2022-22965 idea
03-27
### 关于 CVE-2022-22965 漏洞的信息 CVE-2022-22965 是一种影响 Spring Framework 的远程代码执行 (RCE) 漏洞。此漏洞的根本原因是 JDK 9 及更高版本中的 Spring MVC 数据绑定机制存在缺陷,攻击者可以通过精心构造的数据触发该漏洞,在受影响的应用程序上实现任意代码执行[^1]。 #### 影响范围 该漏洞主要影响以下版本的 Spring Framework: - **Spring Framework 5.3.x** 版本低于 5.3.18 - **Spring Framework 5.2.x** 版本低于 5.2.20 如果应用程序运行在上述受支持但未更新的版本范围内,则可能受到威胁。 --- ### 如何在 IntelliJ IDEA 中处理 CVE-2022-22965 为了防止因 CVE-2022-22965 导致的安全风险,开发者可以采取以下措施: #### 升级 Spring Framework 到安全版本 最直接的方法是升级到不受漏洞影响的最新稳定版 Spring Framework。推荐升级至以下版本之一: - **Spring Framework 5.3.18 或更高** - **Spring Framework 5.2.20 或更高** 通过 IntelliJ IDEA 实现这一目标的具体操作如下: 1. 打开项目的 `pom.xml` 文件(对于 Maven 项目),或者 `build.gradle` 文件(对于 Gradle 项目)。 2. 修改 Spring Framework 的版本号为安全版本。例如: ```xml <!-- pom.xml --> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-core</artifactId> <version>5.3.18</version> </dependency> ``` 对于 Gradle 用户: ```gradle // build.gradle implementation 'org.springframework:spring-core:5.3.18' ``` 3. 使用 IntelliJ IDEA 提供的功能刷新依赖项。点击右上角的 “Maven” 工具窗口并选择 “Reload All Maven Projects”,或针对 Gradle 项目同步构建脚本。 #### 配置 JDK 环境 由于漏洞仅存在于 JDK 9 和更高的环境中,因此还需要确认开发环境使用的 Java 版本是否兼容最新的补丁。建议使用以下方法验证和调整 JDK 设置: 1. 在 IntelliJ IDEA 中导航到菜单栏的 `File -> Project Structure...`。 2. 转到 `Project Settings -> Project` 页面,设置合适的 SDK 版本(如 Java 11 或以上)。 3. 如果当前安装的 JDK 不满足需求,请下载并配置新的 JDK 版本。 #### 测试修复效果 完成上述更改后,应重新测试应用以确保其正常工作并无其他潜在问题。可采用单元测试或其他自动化工具来验证功能完整性。 --- ### 补充说明 除了手动升级外,还可以借助官方发布的指南进一步加固系统安全性。例如,某些情况下可通过禁用特定 HTTP 请求参数解析器的方式缓解风险[^4]。 ```properties # application.properties spring.mvc.throw-exception-if-no-handler-found=true spring.resources.add-mappings=false ``` 这些配置能够减少恶意请求对服务器的影响程度。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值