[2022.3.30安全漏洞]Spring Framework远程代码执行漏洞

Spring框架高危漏洞:远程命令执行风险及修复建议
最新推荐文章于 2025-02-21 11:09:21 发布
原创 最新推荐文章于 2025-02-21 11:09:21 发布 · 172 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #后端

2022年3月30日,CNVD发布Spring框架远程命令执行漏洞(CNVD-2022-23942),攻击者可利用该漏洞在未授权情况下远程执行命令。漏洞影响Spring Framework低于5.3.18和5.2.20的版本。建议用户紧急升级到5.3.18或5.2.20以修复问题。漏洞修复可通过Maven或Gradle更新Spring版本。

2022年3月30日,国家信息安全漏洞共享平台(CNVD)发布了Spring框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。

目前,此漏洞POC、技术细节及EXP已大范围公开,此漏洞影响范围极大。目前Spring官方已发布补丁修复该漏洞,强烈建议Spring框架用户立即更新至最新版本。

一、漏洞详情

Spring Framework是一个开源应用框架,提供了IOCAOPMVC等功能。旨在降低应用程序开发的复杂度。它是轻量级、松散耦合的。它具有分层体系结构,允许用户选择组件,同时还为 J2EE 应用程序开发提供了一个有凝聚力的框架。

由于Spring框架存在处理流程缺陷,攻击者可在远程条件下,实现对目标主机的后门文件写入和配置修改,继而通过后门文件访问获得目标主机权限。

大部分开发者使用Spring框架或衍生框架构建的网站或应用,且同时使用JDK版本大于等于9,易受此漏洞攻击影响,然而,该漏洞的利用性更为普遍,而且可能有其他尚未报告的方法来利用它。

二、漏洞等级

高危

建议紧急修复!

三、影响范围

  • Spring Framework < 5.3.18
  • Spring Framework < 5.2.20
  • Spring Framework 的衍生框架构建的网站或应用

四、修复建议

目前,Spring官方已发布新版本完成漏洞修复,安全团队建议应用owner尽快进行自查,并及时升级至最新版本:

  • Spring Framework = 5.3.18
  • Spring Framework = 5.2.20

升级方式:

1.通过Maven更新Spring版本:

 <properties>
    <spring-framework.version>5.3.18</spring-framework.version>
  </properties>

2.通过Gradle更新Spring版本:

 ext['spring-framework.version']= '5.3.18'
Spring Framework CVE-2022-22965漏洞详细分析
HBohan的博客
04-18 2247
. 漏洞利用条件 jdk9+ Spring 及其衍生框架 使用tomcat部署spring项目 使用了POJO参数绑定 Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本 二. 漏洞分析 一开始复现这个漏洞的时候,听其他师傅说是一个老漏洞CVE-2010-1266的绕过,之前也没调试过这个漏洞,看了些分析文章后,大概明白是对Spring中的bean的漏洞利用,通过API Introspector. getBeanInfo 可以获取到PO
Spring Framework远程代码执行漏洞(CVE-2022-22965)
热门推荐
chaojixiaojingang
04-06 1万+
1.漏洞描述 由于Spring处理流程存在缺陷,在JDK9及以上版本的Spring框架环境中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并注入恶意字段值,触发pipeline机制,从而在任意路径下写入文件。远程攻击者可利用该漏洞写入恶意代码导致远程代码执行。 2.影响版本 JDK >= 9 & 5.3.X < Spring Framework < 5.3.18 JDK >= 9 & 5.2.X ...
安全修复之Web——Spring Framework 远程代码执行漏洞
CN華少的博客
05-21 490
安全修复之Web——Spring Framework 远程代码执行漏洞 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:Java...
Spring Framework远程代码执行漏洞(CVE-2022-22965)
qq_50854662的博客
06-27 1327
Spring Framework远程代码执行漏洞(CVE-2022-22965)
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
2022年,Spring Framework 发现了一个严重的远程命令执行(RCE)漏洞,被称为CVE-2022-22965,也被称为“Spring4Shell”。这个漏洞对使用Spring Framework的应用程序构成了重大威胁,因为攻击者可以利用它来执行...
Spring Framework 远程代码执行漏洞复现(CVE-2022-22965)
Start C的博客
04-01 5056
1、概述 Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。 未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。 该漏洞广泛存在于Spring 框架以及衍生的框架中,并JDK 9.0及以上版本会受到影响。 2、受影响版本 Spring Core <= 5.2.19, <= 5.3.17 Spring Boot <= 2.6.5 3、利用前提 JD
Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
qq_52671379的博客
04-12 2836
Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
spring framework远程代码执行漏洞复现(CNVD-2022-23942 CVE-2022-22965)
yang1234567898的博客
04-18 7335
330 日,国家信息安全漏洞共享平台(CNVD)接收到蚂蚁科技集团股份有限公司报送的 Spring 框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。CNVD 对该漏洞的综合评级为“高危”。 漏洞影响: JDK9+ 使用了 Spring 框架或衍生框架 Apache Tomcat 作为 Servlet 容器 spring-webmvc 或 spring-webflux 依赖 Spring Framework 版本 5.3.0..
Spring框架存在远程命令执行(CVE-2022-22965)漏洞
最新发布
m0_74080781的博客
02-21 1043
CE2022965是一个较老但当时非常流行的动作工具,功能丰富,基于框架。 2.该工具可以做很多事情,包括配合log进行高版本GDP过滤。 3.ce2022965的版本号有其特殊规则,副版本号不能超过9.999.0.66,主版本号必须大于1.8。漏洞利用条件1. 检测是否使用Spring框架,若未使用,则不存在该漏洞。2. 检查项目是否使⽤Spring参数绑定,若未使用,则不存在该漏洞3. 检查中间件使用的JDK版本,若版本号小于9,则不存在该漏洞。利用jdk9+的新特性,也就是module机制...
Spring框架(Framework)存在远程命令执行漏洞
qq_20025777的博客
08-31 766
Spring框架存在远程命令执行漏洞
Spring Framework 远程命令执行漏洞CVE-2022-22965
qq_32445755的博客
03-31 571
简介 Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。 未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。 该漏洞广泛存在于Spring 框架以及衍生的框架中,并JDK 9.0及以上版本会受到影响。 Spring 0day漏洞 影响范围 JDK9 <= Spring Cloud Function JDK9及其以上版本; 使⽤了Spring-bean
【安全通报】Spring Framework 远程命令执行漏洞(CVE-2022-22965)
Hanko的专栏
04-02 4023
原文: https://nosec.org/home/detail/4983.html 近日,Spring 官方 GitHub issue中提到了关于 Spring Core 的远程命令执行漏洞,该漏洞广泛存在于Spring 框架以及衍生的框架中。 漏洞描述 Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。 未经身份验证的攻击者可以使用此漏洞进行远程任意代码执
vulfocus复现:Spring Framework 远程命令执行漏洞
woai_zhongguo的博客
07-18 1651
vulfocus复现:Spring Framework 远程命令执行漏洞
2022.3.30安全漏洞Spring Framework远程代码执行漏洞
m0_71745484的博客
01-13 536
2022330日,CNVD发布了Spring框架远程命令执行漏洞
(CVE-2022-22965)Spring Framework 远程命令执行漏洞(vulfocus复现)
qq_40646572的博客
05-11 1114
漏洞SpringFramework数据绑定的一个漏洞,如果后台方法中接受的参数为非基础类型,Spring会根据前端传入的请求正文中的参数的key值来查询与其名称所对应的getter和setter方法,攻击者利用这一特性修改了Tomcat的一个用于日志记录的类的属性,进而当Tomcat在进行写日志操作的时候,将攻击者传递的恶意代码写入指定目录的指定文件中。
Spring Framework远程代码执行漏洞
m0_71745903的博客
01-11 885
2022330日,国家信息安全漏洞共享平台(CNVD)发布了Spring框架远程命令执行漏洞(攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,此漏洞POC、技术细节及EXP已大范围公开,此漏洞影响范围极大。目前Spring官方已发布补丁修复该漏洞,强烈建议Spring框架用户立即更新至最新版本。
CVE-2022-22965——Spring Framework远程代码执行漏洞
c0rdXy的博客
09-25 347
Spring Framework远程代码执行漏洞
Spring框架远程代码执行漏洞 CVE-2022-22965 的紧急修复指南
资源摘要信息:"CVE-2022-22965是关于Spring框架中的一个远程代码执行漏洞。该漏洞存在于Spring相关框架中,允许攻击者通过特定的参数绑定机制远程执行代码。此漏洞2022331日由Spring官方通报,并已在Spring...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值