Spring [CVE-2022-22965]漏洞处理

最新推荐文章于 2025-03-02 22:24:09 发布
最新推荐文章于 2025-03-02 22:24:09 发布
阅读量1.9k 收藏 4
点赞数
分类专栏: Spring 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Confused_/article/details/124115407
版权

问题描述

近期spring官方公布了漏洞 - [CVE-2022-22965]
参考地址: https://tanzu.vmware.com/security/cve-2022-22965

参考issues提到的问题答案开发人员回应: 可能是由于Springframework 3.x 早于 JDK9发布,甚至发布时还未完整的支持JDK8。我们都知道新版本的产品一般都是向下兼容的,所以spring运行在新的JDK上是可行的,但是支持方面可能会出现的问题只能靠自己维护。此外,Spring Framework 3.2.18(3.x EOL 之前的最新版本)处于 2016 年 12 月的安全补丁级别。继续使用该版本会错过我们同时应用于 4.x 和 5.x 的六年漏洞补丁和防御措施。当前 CachedIntrospectionResults 更改的修补版本将涵盖不受支持的 JDK 9+ 上的此特定攻击向量,但即使在框架的受支持区域中,仍可能使您暴露于其他漏洞。

引发条件:

在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。具体的利用需要应用程序作为 WAR 部署在 Tomcat 上运行。如果应用程序被部署为 Spring Boot 可执行 jar,即默认值,则它不易受到漏洞利用。但是,该漏洞的性质更为普遍,可能还有其他方法可以利用它。
这些是利用的先决条件:
JDK 9 或更高版本
Apache Tomcat 作为 Servlet 容器
打包为 WAR
spring-webmvc 或 spring-webflux 依赖项
Spring Framework
5.3.0 ==> 5.3.17
5.2.0 ==> 5.2.19

处理方法

安全版本:

  • springframework == 5.3.18
  • springframework == 5.2.20

升级方式:

  1. 通过Maven方式更新Spring版本
<properties>
	<spring-framework.version>5.3.18</spring-framework.version>
</properties>
  1. 通过Gradle升级Spring版本
ext['spring-framework.version']='5.3.18'
  1. 通过升级springboot提升Spring版本
<spring-boot.version>2.5.12</spring-boot.version>
Spring RCE 漏洞 CVE-2022-22965 的终极解决方案
oscar999的专栏
04-01 1万+
Spring框架爆出的RCE(程命令执行)漏洞,现在这个漏洞有了统一的编号: **CVE-2022-22965**。 这个漏洞的主要原因是在JDK 9+版本里,Spring MVC数据绑定时出现的漏洞
spring Framework 程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
2022年,Spring Framework 发现了一个严重的程命令执行(RCE)漏洞,被称为CVE-2022-22965,也被称为“Spring4Shell”。这个漏洞对使用Spring Framework的应用程序构成了重大威胁,因为攻击者可以利用它来执行...
CVE-2022-22965 漏洞复现
Ethan_cfq的博客
04-13 467
执行格式 :python3 Spring_vulhub_CVE-2022-22965_poc.py --url=url:pro。此时已将tomcat的日志存储位置已修改为:tomcatwar.jsp,此文件是小马文件,可执行程命令。拉取cve-2022-22965环境(vulhub拉去环境并打开漏洞环境)在靶场环境搭建可访问的情况下,运行python文件,可直接进行程命令执行。此时我们可以正常访问页面,说明我们的靶场环境可以使用。访问靶场环境是否可正常访问。此时,手工漏洞已复现结束。
漏洞分析 Spring Framework路径遍历漏洞CVE-2024-38816)
最新发布
web15185420056的博客
03-02 1052
VMware Spring Framework是美国威睿(VMware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。近期,监测到Spring Framework在特定条件下,存在目录遍历漏洞(网宿评分:高危、CVSS 3.1 评分:7.5):当同时满足使用 RouterFunctions 和 FileSystemResource 来处理和提供静态文件时,攻击者可构造恶意请求遍历读取系统上的文件。
CVE-2022-22965 Spring Framework程代码执行漏洞复现
热爱学习,喜欢折腾!
09-14 3258
springframework 是spring 里面的一个基础开源框架,主要用于javaee的企业开发。Spring是什么呢?首先它是一个开源的项目,而且非常活跃;它是一个基于IOC和AOP的构架多层j2ee系统的框架,但它不强迫你必须在每一层中必须使用Spring,因为它模块化的很好,允许你根据自己的需要选择使用它的某一个模块;
CVE-2022-22965Spring程代码执行漏洞复现
精品博客,你值得一看~
03-15 3337
由于Spring框架历史漏洞修复代码存在缺陷,在 JDK 9 及以上版本环境下,程攻击者可借助Tomcat中间件构造数据包修改日志文件,从而可在任意路径下写入Webshell等恶意文件,最终可导致执行任意代码控制服务器等危害。Spring框架(Framework)是一个开源的轻量级J2EE应用程序开发框架,提供了IOC、AOP及MVC等功能,解决了程序人员在开发中遇到的常见问题,提高了应用程序开发便捷度和软件系统构建效率。4.使用 spring-webmvc spring-webflux 的依赖。
老版本的Spring应用该如何应对CVE-2022-22965漏洞
程序猿DD
04-02 1884
昨天,在发布了《Spring官宣承认网传大漏洞,并提供解决方案》之后。群里就有几个小伙伴问了这样的问题:我们的Spring版本比较老,该怎么办?这是一个好问题,所以DD今天单独拿出来说说。 这次的RCE漏洞宣布之后,官方给出的主要解决方案是升级版本,但只有Spring 5.2、5.3和Spring Boot 2.5、2.6提供了对应的升级版本。 那么对于一些还在用Spring 5.0、5.1甚至Spring 4.x、Spring Boot 1.x和Spring 2.4及以下版本的用户该怎么办呢? 第一种
CVE-2022-22965 GUItools单个图形化利用工具
04-06
3月31日,spring 官方通报了 Spring 相关框架存在程代码执行漏洞,并在 5.3.18 和 5.2.20.RELEASE 中修复了该漏洞漏洞评级:严重 影响组件:org.springframework:spring-beans 影响版本:和 的Spring框架均...
SpringCloud Function SpEL注入漏洞分析(CVE-2022-22963).doc
07-08
SpringCloud Function SpEL 注入漏洞分析(CVE-2022-22963) SpringCloud Function 是 Spring 提供的一套分布式函数式编程组件,旨在帮助开发者专注于业务逻辑实现,而不需要关心服务器环境运维等问题。然而,在 ...
CVE-2022-22947-Spring-Cloud-Gateway 内存马POC
03-29
Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而...
CVE-2022-22963 复现Demo
04-14
CVE-2022-22963 复现Demo,A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) via data binding. The specific exploit requires the application to run on Tomcat as a WAR deployment. If the application is deployed as a Spring Boot executable jar, i.e. the default, it is not vulnerable to the exploit. However, the nature of the vulnerability is more general, and there may be other ways to exploit it. 存在任何使用问题可以私信本人。
官方完整包 spring-framework-5.3.8.RELEASE-dist.zip
06-11
官方完整包 spring-framework-5.3.8.RELEASE-dist.zip官方完整包 spring-framework-5.3.8.RELEASE-dist.zip
【干货】Spring程命令执行漏洞CVE-2022-22965)原理分析和思考
dzqxwzoe的博客
11-20 962
上周网上爆出Spring框架存在RCE漏洞,野外流传了一小段时间后,Spring官方在3月31日正式发布了漏洞信息,漏洞编号为CVE-2022-22965。本文章对该漏洞进行了复现和分析,希望能够帮助到有相关有需要的人员进一步研究。
CVE-2022-22965 漏洞分析,安全问题早发现
华为云官方博客
04-14 1537
Spring在进行参数绑定时调用的 BeanWrapperImpl在进行JavaBean操作时触发了此漏洞
紧急通告 | Spring框架存在程命令执行漏洞,悬镜全线产品已实现检测和防御覆盖
Anprou的博客
04-02 4548
近期,Spring官方披露了Spring框架程命令执行漏洞CVE-2022-22965),当JDK版本在9及以上版本时,易受此漏洞攻击影响。POC、EXP已公开,建议用户尽快进行自查工作。悬镜安全全线产品已于第一时间实现对该漏洞的检测和防御覆盖。 一、漏洞描述 Spring是Java生态使用最广泛的开发框架。未经身份验证的攻击者可以使用此漏洞程执行命令。JDK 9.0 及以上版本易受到影响。 二、影响版本 版本低于5.3.18和5.2.20的Spring框架其衍生框架。 ..
springboot之404注意项
LJJ1338的博客
07-30 1241
要保证所有的bean都被spring扫描到,一定要将其他类放在@SpringBootApplication注解的app类的同目录子目录下,不然的话,将扫描不到定义的bean导致很多错误,一定要注意这一点!
CVE-2022-22965Spring程代码执行漏洞
热门推荐
一只爱吃橙子的羊
04-09 4万+
CVE-2022-22965Spring Framework程代码执行漏洞
Spring RCE 漏洞 CVE-2022-22965复现分析
m0_61506558的博客
09-19 5941
关于CVE-2022-22965漏洞的环境调试和内容,网上看了一波,感觉有些知识点内容还是必须要了解才能理解该漏洞,为此详细写了下从Spring框架结构分析,环境搭建到漏洞分析调试整体的一个过程理解,在遇到其他类型的漏洞也可以去调试运用。(一)了解Spring框架由于本文主要介绍漏洞原理流程,所以有关框架不会具体展开,会将涉及到的内容进行解释。1、
Spring框架程代码执行漏洞 CVE-2022-22965 的紧急修复指南
资源摘要信息:"CVE-2022-22965是关于Spring框架中的一个程代码执行漏洞。该漏洞存在于Spring相关框架中,允许攻击者通过特定的参数绑定机制程执行代码。此漏洞2022年3月31日由Spring官方通报,并已在Spring...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丶Yann

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值