漏洞描述
近日,墨云科技监测到Spring框架中存在远程代码执行漏洞,在JDK 9及以上版本环境下,攻击者通过构造恶意的请求修改中间件的日志文件,从而实现远程代码执行。
由于该漏洞的严重性,建议使用Spring框架组件的客户尽快自查是否受漏洞影响,并采取措施防止漏洞攻击。目前,墨云科技Vackbot产品已更新针对该漏洞进行自动化渗透的能力。
漏洞编号
CVE-2022-22965
风险等级
严 重
影响范围
- Spring Framework 5.3.X < 5.3.18
- Spring Framework 5.2.X < 5.2.20
漏洞影响排查方法
方法一:
● JDK版本排查
在业务系统的服务器上,执行"java-version"命令查看运行的JDK版本,如果JDK版本号≤8,则不受该漏洞影响。
● Spring框架使用情况排查
\1. 如果业务系统项目以 war 包形式部署,按照如下的步骤进行判断:
- 解压 war 包:将 war 文件的后缀修改成 .zip 文件;
- 在解压目录下搜索是否存在spring-beans-*.jar 格式的文件(例如spring-beans-5.3.16.jar),如存在则说明业务系统使用了 Spring 框架进行开发;
- 如果spring