[CVE-2022-22965]Spring Framework远程命令执行漏洞

已于 2022-04-01 09:41:39 修改
阅读量2.5k 收藏 2
点赞数
分类专栏: 漏洞分析 文章标签: spring web安全
于 2022-03-30 10:49:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42353842/article/details/123840529
版权

一、背景

spring是一个开源的,轻量级控制反转和面向切面的容器框架,解决企业应用开发的复杂性,降低耦合,更易于测试。作为目前全球最受欢迎的Java轻量级开源框架,Spring允许开发人员专注于业务逻辑,简化Java企业级应用的开发周期。

3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。

二、漏洞利用条件

影响版本:

  • Spring Framework < 5.3.18

  • Spring Framework < 5.2.20

  • 其他衍生框架、版本

利用条件:

  • JDK9+
  • Spring 框架以及衍生的框架存在spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class
  • 使用tomcat启动

三、漏洞POC

已有POC流出,请关注。

四、防御策略

1.waf增加防护规则:

class\s*\.\s*module\s*\.\s*classLoader.*=.*(jsp|exec|runtime|java|sun|spring|forname)

2.框架内修复

在应用系统的项目包下新建以下全局类,并保证这个类被Spring 加载到(推荐在Controller 所在的包中添加).完成类添加后,需对项目进行重新编译打包和功能验证测试。并重新发布项目。

import org.springframework.core.annotation.Order;

import org.springframework.web.bind.WebDataBinder;

import org.springframework.web.bind.annotation.ControllerAdvice;

import org.springframework.web.bind.annotation.InitBinder;



@ControllerAdvice

@Order(10000)

public class a{

@InitBinder

public void setAllowedFields(WebDataBinder dataBinder) {

String[] abd = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};

dataBinder.setDisallowedFields(abd);

}

}

3.补丁修复

目前官方已给出修复补丁,请升级版本至5.2.20.RELEASE或5.3.18。

Releases · spring-projects/spring-framework · GitHub

五、漏洞靶场

Vulfocus 漏洞威胁分析平台

读者可以选择Spring Framework 远程命令执行漏洞靶场试玩。

六、漏洞分析预测

CVE-2022-22965 Spring core RCE漏洞复现
afei001
04-01 4218
Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。 未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。 该漏洞广泛存在于Spring 框架以及衍生的框架中。
Spring Framework 远程命令执行漏洞CVE-2022-22965
qq_32445755的博客
03-31 504
简介 Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。 未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。 该漏洞广泛存在于Spring 框架以及衍生的框架中,并JDK 9.0及以上版本会受到影响。 Spring 0day漏洞 影响范围 JDK9 <= Spring Cloud Function JDK9及其以上版本; 使⽤了Spring-bean
Spring Core远程代码执行漏洞的预警通报
LZHH_2008的博客
04-06 4477
Spring Core远程代码执行漏洞的预警通报 Spring Core组件存在远程代码执行漏洞。该漏洞是由于Spring Core未对传输的数据进行有效的验证,攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行远程代码执行攻击,最终获取服务器最高权限。 Spring是一个支持快速开发Java EE应用程序的框架。 它提供了一系列底层容器和基础设施,并可以和大量常用的开源框架无缝集成,可以说是开发Java EE应用程序的必备。 漏洞影响范围: (1)使用JDK>=9 (2)Spring开发或
【干货】Spring远程命令执行漏洞CVE-2022-22965)原理分析和思考
liuhyusb的博客
08-20 405
上周网上爆出Spring框架存在RCE漏洞,野外流传了一小段时间后,Spring官方在3月31日正式发布了漏洞信息,漏洞编号为CVE-2022-22965。本文章对该漏洞进行了复现和分析,希望能够帮助到有相关有需要的人员进一步研究。
Spring Core RCE 漏洞复现
最新发布
qq_73630656的博客
06-12 890
远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件
CVE-2022-22965Spring core RCE漏洞
冬的博客
04-11 4586
3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
2022年,Spring Framework 发现了一个严重的远程命令执行(RCE)漏洞,被称为CVE-2022-22965,也被称为“Spring4Shell”。这个漏洞对使用Spring Framework的应用程序构成了重大威胁,因为攻击者可以利用它来执行...
CVE-2022-22965 Spring Framework远程代码执行漏洞 复现
weixin_45715461的博客
07-11 3903
CVE-2022-22965 Spring Framework远程代码执行漏洞 复现
CVE-2022-22965Spring远程代码执行漏洞
hjseo_seg的博客
07-30 830
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。SpringframeworkSpring里面的一个基础开源框架,其目的是用于简化Java企业级应用的开发难度和开发周期,2022年3月31日,VMwareTanzu发布漏洞报告,SpringFramework存在远程代码执行漏洞,在JDK9+上运行的SpringMVC或SpringWebFlux应用程序可能容易受到通过数据绑定的远程代码执行(RCE)的攻击。...
Spring Framework远程命令执行复现(CVE-2022-22965
热门推荐
总有人间一两风,填我十万八千梦
04-02 1万+
2022年3月30日,Spring框架曝出RCE 0day漏洞,通过该漏洞可写入webshell以及命令执行。在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件
spring-core-rce-2022-03-29 漏洞复现
m0_46371267的博客
09-20 707
spring-core-rce 漏洞复现
Spring-Core RCE反序列化漏洞原理与复现
FisrtBqy的博客
05-15 2728
Spring-Beans RCE反序列化漏洞原理与复现
Spring Cloud 再爆高危漏洞.... 赶紧修复!!
Java 架构师之路
03-11 235
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达 大家好,我是燕子Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway又突发高危漏洞,又得折腾了。。...
(CVE-2022-22965)Spring Framework 远程命令执行漏洞(vulfocus复现)
qq_40646572的博客
05-11 1025
漏洞SpringFramework数据绑定的一个漏洞,如果后台方法中接受的参数为非基础类型,Spring会根据前端传入的请求正文中的参数的key值来查询与其名称所对应的getter和setter方法,攻击者利用这一特性修改了Tomcat的一个用于日志记录的类的属性,进而当Tomcat在进行写日志操作的时候,将攻击者传递的恶意代码写入指定目录的指定文件中。
vluhub漏洞复现笔记:CVE-2022-22965Spring Framework
weixin_46497491的博客
02-09 691
vluhub漏洞复现笔记:CVE-2022-22965Spring Framework
CVE-2022-22965分析复现
include_voidmain的博客
04-12 3739
0x01 前置知识 Introspector类 javabean通常是用来做数据封装的java类,为了方便数据的读取与写入,会有getter/setter方法来对数据进行操作,在jdk中有一个Introspector类,通过该类的方法可以获取javabean的相关信息,包括javabean中的属性值,以及属性值对应的getter/setter方法。 对于属性的获取,其实是通过对应的getter/setter方法来确定的,如果存在对应的getter/setter方法或其中的一个,都会认为存在对应的属性,下面通
深度解析CVE-2022-22965 Spring 远程命令执行漏洞
qq_29616295的博客
07-25 564
jdk9+ Spring 及其衍生框架 使用tomcat部署spring项目 使用了POJO参数绑定 Spring Framework 5.3.X < 5.3.18 SpringBoot请参照lib中的具体springframework版本 二 漏洞原理 2.1 spring嵌套类型绑定机制 在spring框架中,支持对传入参数的嵌套绑定,例如现在有两个实体类Bean: 相关Controller层代码如下: 运行项目,访问http://localhost:8080/unnamed
Spring Framework 远程代码执行漏洞复现(CVE-2022-22965
Start C的博客
04-01 4968
1、概述 Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。 未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。 该漏洞广泛存在于Spring 框架以及衍生的框架中,并JDK 9.0及以上版本会受到影响。 2、受影响版本 Spring Core <= 5.2.19, <= 5.3.17 Spring Boot <= 2.6.5 3、利用前提 JD
Spring框架远程代码执行漏洞 CVE-2022-22965 的紧急修复指南
资源摘要信息:"CVE-2022-22965是关于Spring框架中的一个远程代码执行漏洞。该漏洞存在于Spring相关框架中,允许攻击者通过特定的参数绑定机制远程执行代码。此漏洞2022年3月31日由Spring官方通报,并已在Spring...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值