Spring官宣重大RCE漏洞CVE-2022-22965

举报
码农小胖哥 发表于 2022/04/13 23:23:33 2022/04/13
【摘要】 沉寂了两天后,Spring官方终于对坊间存在的漏洞进行了公开回应,确实存在RCE漏洞。 该漏洞编号为CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+,漏洞级别:Critical。 详细描述为: 在JDK 9+上运行的Spring MVC或Sprin...

沉寂了两天后,Spring官方终于对坊间存在的漏洞进行了公开回应,确实存在RCE漏洞。

该漏洞编号为CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+,漏洞级别:Critical。

详细描述为:

在JDK 9+上运行的Spring MVC或Spring WebFlux应用程序可能容易通过数据绑定进行远程代码执行(RCE)。该漏洞要求应用程序作为WAR部署在Tomcat上运行。如果应用程序部署为Spring Boot可执行jar,即默认jar,则不受漏洞的攻击。然而,脆弱性的性质更为普遍,可能还有其他方法可以利用它。


这些是漏洞执行的先决条件:

1.JDK 9或更高
2.Apache Tomcat作为Servlet容器
3.打包为WAR
4.依赖Spring-webmvc或spring-webflux

受影响的Spring Framework版本:

1. Spring Framework5.3.0 到 5.3.17
2. Spring Framework5.2.0 到 5.2.19
3. 较旧的、不受支持的版本也受到影响

官方声明地址:

https://tanzu.vmware.com/security/cve-2022-22965

目前Spring官方已经更新了补丁,参考下图

0f6bfa2bf34652f0b1127c0edbed323d.png

各位同学可依据自身情况排查。

文章来源: felord.blog.csdn.net,作者:码农小胖哥,版权归原作者所有,如需转载,请联系作者。

原文链接:felord.blog.csdn.net/article/details/123911426

【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。