记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

【漏洞预警】Spring框架远程命令执行漏洞 — vulsee.com

2022-04-01 02:27
【漏洞预警】Spring框架远程命令执行漏洞

漏洞名称:Spring框架远程命令执行漏洞

组件名称:Spring Framework

影响范围:

Spring Framework 5.3.x< 5.3.18

Spring Framework 5.2.x< 5.2.20

漏洞编号:CVE-2022-22965

漏洞类型:远程命令执行

利用条件:

1、使用Spring 框架以及衍生的框架

2、JDK>= 9.0

3、使用Apache Tomcat容器

4、存在spring-webmvc或spring-webflux依赖

综合评价:

<利用难度>:低

<威胁等级>:高危  能写入任意文件或执行命令获取服务器权限

#1 漏洞描述

Spring 是一款目前主流的 Java EE 轻量级开源框架,为JavaEE应用提供多方面的解决方案,用于简化企业级应用的开发。
近期锦行安全团队监测到Spring 框架存在远程命令执行漏洞,攻击者可利用该漏洞获取服务器控制权,目前漏洞相关利用poc/exp已经小范围公开,后续可能会造成大范围传播,造成严重危害。

#2 解决方案

目前,参照spring官方更新至安全版本(v5.3.18或v5.2.20),或者采用以下临时方案进行防护: 
1、新建全局类,调用dataBinder.setDisallowedFields方法添加黑名单:

@ControllerAdvice

@Order(Ordered.LOWEST_PRECEDENCE)

public class BinderControllerAdvice {

@InitBinder

public void setAllowedFields(WebDataBinder dataBinder) {

String[] denylist = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};

dataBinder.setDisallowedFields(denylist);

}

}

2、使用waf防护设备,根据实际业务情况实现对“class.*”“Class.*”“*.class.*”“*.Class.*”等相关字符串的规则过滤
3、临时回滚jdk版本至9以下,并注意其他漏洞影响情况。

#3 参考资料

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://github.com/spring-projects/spring-framework/tags

 

 

 

原文始发于微信公众号(锦行信息安全):【漏洞预警】Spring框架远程命令执行漏洞


知识来源: https://vulsee.com/archives/vulsee_2022/0401_16266.html

阅读:64502 | 评论:0 | 标签:Middleware 业界快讯 binder class data databinder field framework

想收藏或者和大家分享这篇好文章→复制链接地址

“【漏洞预警】Spring框架远程命令执行漏洞 — vulsee.com”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁