快捷導航

解析Spring?漏洞及其修復方案

更新時間：2022年04月02日 09:44:20 作者：xiangzhihong8

官宣了最近網(wǎng)傳的Spring漏洞。攻擊者利用該漏洞，可在未授權(quán)的情況下遠程執(zhí)行命令，今天通過本文給大家普及下漏洞分析影響范圍及解決方案，感興趣的朋友跟隨小編一起看看吧

Spring社區(qū)發(fā)布了一篇名為《Spring Framework RCE, Early Announcement》的文章，官宣了最近網(wǎng)傳的Spring漏洞。攻擊者利用該漏洞，可在未授權(quán)的情況下遠程執(zhí)行命令。目前，漏洞利用細節(jié)已大范圍公開，好在Spring官方已發(fā)布補丁修復該漏洞。

漏洞分析

Spring框架（Framework）是一個開源的輕量級J2EE應(yīng)用程序開發(fā)框架，提供了IOC、AOP及MVC等功能，解決了程序人員在開發(fā)中遇到的常見問題，提高了應(yīng)用程序開發(fā)便捷度和軟件系統(tǒng)構(gòu)建效率。

2022年3月30日，CNVD平臺接收到螞蟻科技集團股份有限公司報送的Spring框架遠程命令執(zhí)行漏洞。由于Spring框架存在處理流程缺陷，攻擊者可在遠程條件下，實現(xiàn)對目標主機的后門文件寫入和配置修改，繼而通過后門文件訪問獲得目標主機權(quán)限。使用Spring框架或衍生框架構(gòu)建網(wǎng)站等應(yīng)用，且同時使用JDK版本在9及以上版本的，易受此漏洞攻擊影響。這次確定的Spring核心框架中的RCE漏洞，CVE號為CVE-2022-22965。

在這里插入圖片描述