Spring 框架存在高危 RCE 零日漏洞?核心开发者澄清

最新推荐文章于 2022-06-10 11:04:25 发布
最新推荐文章于 2022-06-10 11:04:25 发布
阅读量197 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java
原文链接:https://www.oschina.net/news/189050/spring-core-vulnerability-maybe-is-fake-news
知名开源框架Spring被曝存在远程代码执行漏洞,源于SerializationUtils#dserialize方法。Spring团队正在处理相关修复,弃用可能引发RCE的风险操作。Spring6.0已弃用该功能,5.3.x版本则添加警告。官方尚未正式公告,漏洞详情尚待确证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

近日, 最受欢迎的开源轻量级 Java 框架 Spring 被曝存在 高危的 RCE( 远程控制设备 ) 零日漏洞 , 北京大学计算中心(相关公告在本文发布时已删除)、 外媒 praetorian 、bleepingcomputer 等站点对该漏洞进行了报道。

据网上疯传的介绍,该 RCE 漏洞源于 Spring 框架核心的 SerializationUtils#dserialize 方法,该方法基于 Java 的序列化与反序列机制,可导致远程代码执行 (RCE),使用 JDK9 及以上版本 皆有可能受到影响。

正在紧急修复?

从 Spring 项目的 Git 提交记录来看,在漏洞消息疯传的同时, Spring 开发者似乎在紧急处理漏洞相关的代码,比如 3 月 29日的新提交: 弃用 SerializationUtils#deserialize 。

在这个敏感的时间点,该提交引了一些紧张情绪,很多用户在该提交下面留言,询问该提交的代码改动是否与网传的 0day RCE 漏洞相关?而 Spring 核心开发者之一 sbrannen 对此 作出澄清:

弃用 SerializationUtils#deserialize 跟目前所有的漏洞都没有关系。

此提交的目的是通知使用过 SerializationUtils#deserialize 的用户:从不受信任的来源反序列化对象是危险的。

Spring 核心框架不会使用 SerializationUtils 反序列化来自不受信任来源的对象。

事实上,早在 2 月 19 日 Spring 框架的仓库就出现过对该 SerializationUtils 方法的讨论,开发者 ledoyen    就指出: 基于 Java 的序列化机制, SerializationUtils#dserialize 可能导致 RCE 远程代码执行漏洞,因此 他提出了弃用 SerializationUtils#dserialize 的 PR  #28075 

由此看来,前面的提交是 ledoyen 针对该 PR 的一次代码合并,弃用 SerializationUtils#dserialize 也是计划之内的事情。有人询问在该 PR 下询问“  SerializationUtils#dserialize 是否应该作为漏洞报道”时, ledoyen 也进行解释:

SerializationUtils#dserialize 本身不是漏洞,使用此工具处理用户输入数据可能会导致 CVE,但该方法在内部作为缓存结果拦截器( CacheResultInterceptor) 使用的话,则不会导致任何漏洞。

目前, SerializationUtils#dserialize 在 Spring Framework 6.0 中已弃用,而对于 5.3.x 版本,则是向 Javadoc 中添加针对 SerializationUtils 工具类的警告,以提高用户的警觉意识。

如果确实存在,那么这个 Spring 框架 RCE 漏洞的影响将远超此前的 Log4j 或 Heartbleed ,但小编翻了一整天,也没有看到谁能真正复现此漏洞(基本是开局一张马赛克图,漏洞细节全靠编)。

GitHub 上倒是有很多命名为 Spring core RCE 的新仓库,但基本都是“懂得都懂”的谜语描述。据郑州网安协会报道,甚至还有人趁乱发布钓鱼 exe 文件...

截至发稿时间,Spring 团队 没有对该漏洞发表任何官方公告: 官方博客的最新漏洞公告是 CVE-2022-22963:Spring 表达式资源访问漏洞 和 CVE-2022-22950:Spring 表达式 DoS 漏洞 ,但这两个漏洞的严重程度都是中等,无法与网传 Spring 核心框架的 RCE 高危程度相比。

Spring 框架RCE 安全漏洞及解决方式
oscar999的专栏
03-31 1万+
SpringShell: Spring Core RCE 0-day Vulnerability”。 这个漏洞是一个RCE漏洞RCE (remote command/code execute),远端命令执行, 也就是可以在远端控制服务器,相当于一个命令窗口,类似于linux 的Shell , 所以被称为 SpringShell。
Zoom 0Day跟进:获取RCE
知柯信安
01-03 657
寻找初始向量 我们的方法在很大程度上依赖于外部攻击面的侦察,但是由于空中3万英尺的低速wifi网络,我们发现这有点不切实际。急于破解,我们决定在macOS上查看Zoom的桌面客户端。 我们注意到的第一件事是与Zoom macOS客户端打包在一起的名为ZoomOpener的二进制文件。二进制文件注册了URL处理程序。zoomopener://,并在端口19421上运行本地网络服务器作为守护程序。 对Web服务器的用途/功能感到好奇,我们在拆装器中加载了ZoomOpener并开始四处浏览。很快,我们就能找到名为
Spring RCE 0day漏洞到底是真是假?
kyzb2022的博客
03-31 5306
哈喽,大家好,我是指北君。 不知道昨晚大家有没有看到Spring框架曝出RCE 0day漏洞,是填上次漏洞的天坑? 还是逃过了上一劫,却遇到了这一劫呢?天道好轮回,苍天饶过谁? 漏洞Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上, 通过框架的参数绑定功能获取AccessLogValve对象并注入恶意字段值,从而触发pipeline机制并 写入任意路径下的文件。 指北君在网上给大家找了个有鼻子有眼的文章,阅读量还不少。 指北君今天也尝试去找了相关的发布源头,既没有.
Spring RCE 0day高危漏洞预警
weixin_48421613的博客
03-30 5400
3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 ​ SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。 漏洞描述: 在Spring框架的JDK9及以上版本中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并 写入任意路径下的文件。 目前已知,触发该漏洞需要满足两个基本条件: 使用J.
Spring RCE 0day高危漏洞预警(Spring Cloud Function / Spring Beans)
罗小爬的技术宝书
03-31 1163
近日Spring框架2个RCE(Remote Code Execution)漏洞(Sping Cloud Function和Spring Beans)跟踪及补救方案。
Spring RCE 0day高危漏洞预警(CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+)后续来了
罗小爬的技术宝书
04-01 1199
Spring官方发布了CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+声明以及最新的修复版本。
深入分析H2数据库控制台中无需身份验证的RCE漏洞
HBohan的博客
01-20 2700
H2是一个非常流行的开源Java SQL数据库,提供一个轻量级的内存解决方案,使得用户无需将数据存储在磁盘上。这使得它成为各种项目的首选数据存储解决方案:从Spring Boot等网络平台到ThingWorks等物联网平台。而com.h2database:h2包则是最流行的50个Maven包之一,具有近7000个工件依赖项。
这个Spring高危漏洞,你修补了吗?
美团技术团队
09-28 3315
点击上方蓝字可以订阅哦前言2009年9月Spring 3.0 RC1发布后,Spring就引入了SpEL(Spring Expression Language)。对于开发...
rce远程执行 0day漏洞 复测
weixin_45141231的博客
08-20 635
** xxx hw重大漏洞 复测 ** fofa关键词:"终端检测响应平台” 漏洞名称: xxx EDR 任意用户登录漏洞/rce远程代码执行 影响范围: EDR <= v3.2.19 漏洞细节: payload: https://ip/ui/login.php?user= 用户名随便写例如: https://123.123.123.123:5000/ui/login.php?user=admin只要用户名存在,比如管理员 复现步骤: 1.打开手机查公众号学习 2.打开fofa,钟馗之言 搜索目标
复现、修复和排查Spring RCE 0day
记录并分享学习安全的知识点..
03-31 4351
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保。 前言: 3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。 参考:https://new.qq.com/omn/20220330/20220330A08Y9K00.html 漏洞情报 | Spring RCE 0da...
开源软件 Cachet 被曝RCE漏洞
smellycat000的专栏
10-18 592
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士研究人员指出,开源的状态页面系统 Cachet 中存在多个安全漏洞,可导致攻击者执行任意代码并窃取敏感数据。Cachet 项目可使用户完...
CVE-2022-22965:Spring core RCE漏洞
冬的博客
04-11 4603
3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。
Spring RCE漏洞分析2(CVE-2018-1273)
hldfight
05-07 2255
0x00 前言 继续分析Spring的历史漏洞,本篇记录Spring Data Commons的远程代码执行漏洞(CVE-2018-1273)的分析。 0x01 环境搭建 使用的Spring Data Example Projects提供的示例代码。 但该项目中包含有15个子模块,如果将其整体导入IDEA,则需要下载所有模块中的依赖,显然这是没有必要的。通过参考这篇文章,发现只需导入web模块中的...
Spring RCE 0day高危预警
Websec
03-30 860
3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。 相关监测发现该漏洞可能已被远程攻击者利用,广东省网络安全应急响应中心连夜发布预警通知,考虑到Spring框架的广泛应用,FreeBuf对漏洞评级为:危险。 漏洞描述: 作为目前全球最受欢迎的Java轻量级开源框架Spring允许开发人员专注于业务逻辑,简化Java
Spring RCE漏洞分析1(CVE-2018-1270)
hldfight
05-04 8688
0x00 前言 趁着五一休息,分析了一下Spring的历史漏洞,这里记录一下对Spring-Messaging远程代码执行漏洞(CVE-2018-1270)的分析。该漏洞涉及到如下概念: 1、WebSocket协议,是HTML5提供的一种可在单个TCP连接上进行全双工通讯的协议。即允许服务端主动向客户端推送数据,详情可以参考这里,讲的挺好的。 2、SockJS,一个JavaScript库,它在浏览...
Spring Cloud Function现RCE 0-day漏洞
HongYu012的博客
03-27 8400
近日,Spring Cloud Function 官方测试用例曝光了 Spring Cloud Function SPEL 表达式注入漏洞,可利用该漏洞通过注入 SPEL 表达式来触发远程命令执行。 Spring Cloud Function 是一个基于 Spring Boot 的函数计算框架。通过抽象传输细节和基础设施,为开发者保留熟悉的开发工具和开发流程,让开发者专注于实现业务逻辑,从而提高开发效率。 Spring Cloud Function 是一个具有以下高级目标的项目: 通过函数促进业务逻辑
Spring框架反射型文件下载漏洞 CVE-2020-5421
dushan1234的专栏
09-25 9001
这篇文章是昨晚写的XStream漏洞的姊妹篇,本次腾讯云提醒的漏洞,出了fastjson的漏洞,还有这个CVE-2020-5421漏洞,也是一样的解决方案。 解决方案: 1.打开腾讯云的漏洞管理,看有哪些漏洞,再接着点击漏洞的名称,腾讯云会告诉你漏洞具体到那个jar包和相应的解决方案。 如下图,全是spring-core的jar包版本问题,我的项目是springcloud框架,所以spring的jar包也是框架自动引入的。系统是一个 老系统,弄到现在springboot的版本是1.5.12,而sprin.
Spring框架RCE 0day漏洞的临时解决方案
qq_45752401的博客
03-30 760
3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行(RCE),使用JDK9及以上版本皆有可能受到影响。 漏洞描述: 作为目前全球最受欢迎的Java轻量级开源框架Spring允许开发人员专注于业务逻辑,简化Java企业级应用的开发周期。 但在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve.
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)
qq_59975439的博客
06-10 5818
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)
Spring框架序列化RCE漏洞详解及利用剖析
在"Spring框架deserialization RCE漏洞分析以及利用1"这篇文章中,主要关注的是Spring框架中出现的与序列化相关的严重漏洞,即远程代码执行(Remote Code Execution, RCE)漏洞。这个漏洞并不是由Apache Commons ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值