解决2022/3/29出现的Spring漏洞问题

最新推荐文章于 2024-05-06 19:26:49 发布
最新推荐文章于 2024-05-06 19:26:49 发布
阅读量745 收藏
点赞数 1
文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adminwxc/article/details/124016545
版权

解决2022/3/29出现的Spring漏洞问题

import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.InitBinder;


/**
 *
 * 此类用于解决2022/3/29出现的Spring漏洞问题
 *
 * 最好把这个类放到controller包中
 *
 * @author xingcheng.wang
 */
@ControllerAdvice
@Slf4j
public class FilterSpringBugAdvice {


    @InitBinder
    public void setAllowedFields(WebDataBinder dataBinder) {

        String[] leakStrings = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};

        dataBinder.setDisallowedFields(leakStrings);

        log.info("解决Spring漏洞类已加载#####################");

    }

}
ㅤㅤ 诚ㅤㅤ
关注
Spring RCE 漏洞 CVE-2022-22965 的终极解决方案
oscar999的专栏
04-01 1万+
Spring框架爆出的RCE(远程命令执行)漏洞,现在这个漏洞有了统一的编号: **CVE-2022-22965**。 这个漏洞的主要原因是在JDK 9+版本里,Spring MVC 的数据绑定时出现漏洞
SpringBlade dusual/list和usual/list接口存在SQL注入漏洞
最新发布
nnn2188185的博客
08-07 144
SpringBlade dusual/list和usual/list接口存在SQL注入漏洞
CVE-2022-22965:Spring远程代码执行漏洞
jiey0407的博客
06-08 401
本文仅为验证漏洞,在本地环境测试验证,无其它目的CVE-2022-22965Spring framework 是Spring 里面的一个基础开源框架,其目的是用于简化 Java 企业级应用的开发难度和开发周期,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。高危进入靶场环境:【Vulhub}-
Spring远程代码执行漏洞(CVE-2022-22965)
huangyongkang666的博客
04-15 1001
Spring远程代码执行漏洞(CVE-2022-22965) 1.漏洞介绍 Spring framework 是Spring 里面的一个基础开源框架,其目的是用于简化 Java 企业级应用的开发难度和开发周期,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。 漏洞影响范围: Spring Fr
Spring官宣网传大漏洞,并提供解决方案
程序猿DD
04-01 3072
Spring沦陷了!这样的标题这几天是不是看腻了?然而,仔细看看都是拿着之前的几个毫不相干的CVE来大吹特吹。所以,昨天发了一篇关于最近网传的Spring漏洞的文章,聊了聊这些让人迷惑的营销文、以及提醒大家不要去下载一些利用漏洞提供补丁的钓鱼内容。而对于这个网传的漏洞,依然保持关注状态,因为确实可能存在,只是没有官宣。 就在不久前(3月31日晚),Spring社区发布了一篇名为《Spring Framework RCE, Early Announcement》的文章,官宣了最近网传的Spring漏洞。这也
spring bug
m0_37680428的博客
07-13 212
Exception in thread "main" org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'person1' defined in class path resource [applicationContext.xml]: Instantiation of bean failed; nested exception is org.springframework.beans
SpringBug
m0_60854461的博客
10-08 113
1.mybatis中集合与Stirng类型的比较 报错信息 invalid comparison: java.util.ArrayList and java.lang.String 原因:无法比较这两种类型 < if test=“categoryIds!=null and categoryIds!=’ ’ “> AND category_id IN < foreach collection=“categoryIds” item=“categoryIds” open=”(” separat
java框架漏洞_Spring 框架漏洞集合
weixin_42514750的博客
02-25 5555
虽说是Spring框架漏洞,但以下包含并不仅Spring Framework,Spring Boot,还有Spring Cloud,Spring Data,Spring Security等。CVE-2010-1622 Spring Framework class.classLoader类远程代码执行影响版本:SpringSource Spring Framework 3.0.0 - 3.0.2、S...
springboot版本升级,及解决springsecurity漏洞问题
喜羊羊love红太狼
05-06 1936
项目中要解决 Spring Security RegexRequestMatcher 认证绕过漏洞(CVE-2022-22978) 漏洞问题,并且需要将项目的版本整体升级到boot版本2.1.7,升级改造过程非常的痛苦,一方面对整个框架的代码不是很熟悉,另外对解决漏洞问题相对较少。但是明明可以用鼠标点击进去,此类问题经常是idea,什么缓存,或者是pom依赖下载不全导致,然后就陷入了这个误区,一直以为是idea的问题,然后idea缓存清理了很多次还是无法解决。此时我就怀疑可能不是idea的问题了。
Spring 框架RCE 安全漏洞解决方式
热门推荐
oscar999的专栏
03-31 1万+
SpringShell: Spring Core RCE 0-day Vulnerability”。 这个漏洞是一个RCE的漏洞,RCE (remote command/code execute),远端命令执行, 也就是可以在远端控制服务器,相当于一个命令窗口,类似于linux 的Shell , 所以被称为 SpringShell。
spring-web-4.3.29.RELEASE.jar
05-14
VMware Tanzu发布安全公告,公布了一个存在于Spring Framework中的反射型文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421。CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的 攻击者通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件,从而危害用户系统。 官方已发布修复了漏洞的新版本。 Spring Framework是 Java 平台的一个开源全栈应用程序框架和控制反转容器实现,一般被直接称为 Spring。受影响产品版本 Spring Framework 5.2.0 – 5.2.8 Spring Framework 5.1.0 – 5.1.17 Spring Framework 5.0.0 – 5.0.18 Spring Framework 4.3.0 – 4.3.28 以及其他已不受支持的版本 不受影响产品版本 Spring Framework 5.2.9 Spring Framework 5.1.18 Spring Framework 5.0.19 Spring Framework 4.3.29
Spring Security认证绕过漏洞(CVE-2022-22978)研究与防护手段
不忘初心,护天下安全!
06-17 2756
CVE IDCVE-2022-22978发现时间2022-05-17类 型认证绕过等 级高危远程利用是影响范围攻击复杂度低用户交互无PoC/EXP在野利用Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。5月16日,VMware发布安全公告,修复了Spring Security中的一个认证绕过漏洞(CVE-2022-22978),该漏洞的CVSSv3评分为8.2。在Spring Security 版本5.5.7之前、5.6.4 之前以及不受支持的旧版本中,使用
springBug
m0_54814599的博客
05-24 139
org.springframework.beans.factory.parsing.BeanDefinitionParsingException: Configuration problem: Cannot locate BeanDefinitionDecorator for element [property-placeholder]Offending resource: class path resource [bean.xml] 这个错误是因为 使用这个方法在bean.xml文件中引入外部的prope
Spring RCE漏洞CVE-2022-22965复现与JavaFx GUI图形化漏洞利用工具开发
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
12-29 2009
Spring RCE漏洞CVE-2022-22965复现与JavaFx GUI图形化漏洞利用工具开发。CVE-2022-22965\Spring-Core-RCE核弹级别漏洞的rce图形化GUI一键利用工具,基于JavaFx开发,图形化操作更简单,提高效率。
[Bug] Spring相关bug收集
topdeveloperr的博客
02-08 867
目录 1.RequiredArgsConstructor空指针错误 2.TestRestTemplate注入时异常NoSuchBeanDefinitionException 3.错误信息:Your ApplicationContext is unlikely to start due to a @ComponentScan of the default package. 4.facto...
spring事务bug
m0_53157173的博客
01-20 396
spring事务bugSpring@Transactional注解在什么情况下事务不生效spring 事务控制 设置手动回滚 TransactionAspectSupport.currentTransactionStatus().setRollbackOnly() Spring@Transactional注解在什么情况下事务不生效 Spring@Transactional注解在什么情况下事务不生效 spring 事务控制 设置手动回滚 TransactionAspectSupport.currentTr
Spring——bug集
qq_52815442的博客
10-31 185
项目场景: 提示:spring DI 依赖注入时: 例如:项目场景:示例:通过蓝牙芯片(HC-05)与手机 APP 通信,每隔 5s 传输一批传感器数据(不是很大) 问题描述: 提示:这里描述项目中遇到的问题: org.springframework.beans.factory.NoSuchBeanDefinitionException: No bean named 'employee' available 原因分析: 无法扫描到“employee”这个包下的内容,在Employee类下
spring的bug记录
Nyima_langka的博客
10-21 594
开始写csdn博客了,首先从记录bug开始吧 Unsatisfied dependency expressed through constructor argument with index 0 of type [java.lang.String -----------------这个错误是因为构造注入时,属性名写错了 ---URL写错了2 Integer 的相等比较 
Spring项目学习之遇见的bug
红莲灭的博客
07-29 209
项目场景: web工程构件部署失败 解决方案: 目前遇见两种情况失败 1.项目结构中,构件中未导入项目的jar包,启动失败 点开项目结构,点击构件项,将项目中的依赖包至于构件包中 2.web.xml中前端控制器未部署初值 <servlet> <servlet-name>DispatcherServlet</servlet-name> <servlet-class>org.springframework.web.servlet.
swagger关闭/v2/api-docs仍然可以访问漏洞 如何解决
05-27
解决Swagger关闭/v2/api-docs仍然可以访问漏洞,您可以采取以下措施: 1. 禁用Swagger的UI页面,这可以通过在Spring Boot应用程序的配置文件中添加如下配置实现: ``` springfox.documentation.swagger-ui....
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值