漏洞简介
Pivotal Spring Framework是美国Pivotal Software公司的一套开源的Java、Java EE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Pivotal Spring Framework 5.0.5之前的5.0版本、4.3.15之前的4.3版本和不再支持的老版本中存在安全漏洞。远程攻击者可通过构造消息利用该漏洞执行任意代码。
漏洞复现
我使用的是vulhub的环境,环境内自带exploit.py,该poc需要修改参数且不具有通用性,当然也可以查看这篇文章来了解详细配置,在vulhub的环境里只需要修改以下url即可利用,我们用python3来运行该poc: