Spring框架远程命令执行漏洞(CNVD-2022-23942)

最新推荐文章于 2024-07-15 19:10:27 发布
最新推荐文章于 2024-07-15 19:10:27 发布
阅读量1.8k 收藏 1
点赞数 2
文章标签: spring 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/axiom2020/article/details/124553022
版权

前言

3月30日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞(CNVD-2022-23942)。该漏洞是继Apache Log4j2漏洞之后的又一严重漏洞事件,引起业界高度关注。该漏洞可能已被远程攻击者利用,漏洞威胁等级被定为高危、非常紧急。30日晚上朋友圈里更是像过年了一样,都在等一个poc。当天晚上呢这个漏洞的热度极高,也是出现了各种伪造成poc的钓鱼文件,目前呢官方也未给出修复方案。我先针对这个漏洞给出一点我自己的看法,第二天进行复现后发现呢,这个漏洞跟想象的不大一样,我个人觉得很鸡肋,当天聊起这个漏洞的时候就觉得这个漏洞是属于好用的,但是又没啥大用,不知道你们能不能明白我的意思,相对来说一些自研平台可能受影响会大一点。

漏洞简介

Spring是目前最受欢迎的开源轻量级Java框架,近日,Spring被曝存在RCE 0day漏洞。已经证实由于SerializationUtils#deserialize基于Java的序列化机制,可导致远程代码执行(RCE),使用JDK9及以上版本皆有可能受到影响。

漏洞影响范围

据了解,受漏洞影响的产品版本包括:

  1. JDK 版本号 9 及以上的;
  2. 使用了Spring 框架或衍生框架。建议开发者进行JDK版本号(注:如果版本号小于等于8,则不受漏洞影响)和Spring框架使用情况进行排查。

自查

在服务器中执行“java -version”命令查看运行的JDK版本,如果版本号小于等于8,则不受漏洞影响

修复方案

目前,Spring官方已发布新版本完成漏洞修复,CNVD建议受漏洞影响的产品(服务)厂商和信息系统运营者尽快进行自查,并及时升级至最新版本:https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
缓释方案
1.在应用中全局搜索@InitBinder注解,方法体中若调用dataBinder.setDisallowedFields,则在原来的黑名单中添加"class.","Class.", “.class.”, “.Class.”。
【注:如果此代码片段使用较多,需要每个地方都追加。】
2.若未发现,可通过@ControllerAdvice进行全局拦截,通过WebDataBinder中setDisallowedFields方法添加黑名单。参考代码:

importorg.springframework.web.bind.WebDataBinder;
importorg.springframework.web.bind.annotation.ControllerAdvice;
importorg.springframework.web.bind.annotation.InitBinder;

@ControllerAdvice
@Order(Ordered.LOWEST_PRECEDENCE)
public class BinderControllerAdvice {
    @InitBinder
    public voidsetAllowedFields(WebDataBinder dataBinder) {
         String[] denylist = newString[]{"class.*", "Class.*", "*.class.*","*.Class.*"};
        dataBinder.setDisallowedFields(denylist);
    }
}
ba1s1r
关注
spring框架漏洞整理(Spring Boot Actuator命令执行漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 999
spring框架漏洞整理之CNVD-2019-11630 Spring Boot Actuator命令执行漏洞 https://www.veracode.com/blog/research/exploiting-spring-boot-actuators# 这个漏洞并不像是单一的问题产生,更像是一个渗透入侵的过程。有大概5个值得在意的知识点 1、Spring Boot 1-1.4,无需身份验证即可访问以下敏感路径,而在 2.x 中,存在于 /actuator 路径下。 /dump-显示线程转储(包括堆栈跟踪
[CVE-2022-22965]Spring远程代码执行漏洞复现
sGanYu
04-26 4789
漏洞概述(级别:高危) 续上一次Log4j2后,于2022年03月29日,Spring官方发布了Spring框架远程命令执行漏洞公告(CNVD-2022-23942、CVE-2022-22965) 攻击者可以通过构造恶意请求来利用这些漏洞,从而造成任意代码执行,未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行,该漏洞广泛存在于Spring框架以及衍生的框架中,JDK 9.0及以上版本会受到此漏洞影响 FOFA语法 app="APACHE-Tomcat" || app="vmware-Sprin
spring framework远程代码执行漏洞复现(CNVD-2022-23942 CVE-2022-22965)
yang1234567898的博客
04-18 7073
3 月 30 日,国家信息安全漏洞共享平台(CNVD)接收到蚂蚁科技集团股份有限公司报送的 Spring 框架远程命令执行漏洞CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令CNVD 对该漏洞的综合评级为“高危”。 漏洞影响: JDK9+ 使用了 Spring 框架或衍生框架 Apache Tomcat 作为 Servlet 容器 spring-webmvc 或 spring-webflux 依赖 Spring Framework 版本 5.3.0..
Spring Framework JDK >= 9 远程代码执行漏洞(CVE-2022-22965)
最新发布
Flag少侠的博客
07-15 9512
打开靶场什么都没有网上查找到了 Poctry:print(e)passExploit(i)main()requests: 用于发送HTTP请求。argparse: 用于解析命令行参数。urljoin: 用于将基础URL与相对路径组合成一个完整的URL。headers: 设置HTTP请求头。suffix: 指定生成的JSP文件的结束标记。c1和c2: 替换变量,用于在请求数据中插入Runtime和
Vulfocus复现Spring框架远程命令执行漏洞CNVD-2022-23942
Aquarius_ego的博客
05-16 1735
Vulfocus复现Spring框架远程命令执行漏洞CNVD-2022-23942)/spring-core-rce-2022-03-29
Spring Framework远程代码执行漏洞
m0_71745903的博客
01-11 721
2022年3月30日,国家信息安全漏洞共享平台(CNVD)发布了Spring框架远程命令执行漏洞(攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,此漏洞POC、技术细节及EXP已大范围公开,此漏洞影响范围极大。目前Spring官方已发布补丁修复该漏洞,强烈建议Spring框架用户立即更新至最新版本。
Spring远程命令执行漏洞
Where_dWanaGo的博客
04-01 213
Spring远程命令执行漏洞 title: spring漏洞记录 subtitle: spring漏洞记录 url:https://radarsoftware.cn/ tags: spring categories: spring Spring漏洞 转载地址:https://mp.weixin.qq.com/s/BnF8CWuUxNliCoa260bEaA Spring RCE (远程代码执行漏洞)已被官方证实。 国家信息安全漏洞平台:https://mp.weixin.qq.com/s/BnF8
Spring 远程命令执行漏洞分析(CVE-2022-22965)
weixin_43263451的博客
08-14 4130
最近想学习学习spring框架方面的漏洞。刚好今年上半年爆了一个spring框架远程命令执行漏洞,随即赶紧来分析一波这个漏洞总的来说是因为:通过spring参数绑定处存在的缺陷使得可以修改tomcat的日志记录相关类AccessLogValve的成员变量从而达到修改tomcat日志记录的配置,最终导致写入jsp马class.module.classLoader.resources.context.parent.pipeline.first.pattern=此处为webshell内容............
CVE-2022-22965 Spring远程代码执行漏洞复现
weixin_45260839的博客
05-22 3938
CVE-2022-22965 Spring远程代码执行漏洞复现
Spring框架远程命令执行漏洞复现
xiaoMiao的博客
04-11 7158
Spring框架远程命令执行漏洞docker环境复现 记录篇~
Spring远程命令执行漏洞的简单概要
m0_50579386的博客
04-10 335
2022 年 3 月 31日,国家信息安全漏洞共享平台(CNVD)收录了 Spring 框架远程命令执行漏洞,并发布了关于 Spring 框架存在远程命令执行漏洞安全公告,安全公告编号:CNTA-2022-0009,POC、EXP等漏洞利用细节已经公开,建议受影响的用户自查安全工作。
CVE-2016-4977(Spring-Security-Oauth)RCE远程命令执行漏洞复现(超详细版!)
精品博客,你值得一看~
09-02 1244
它是为了解决企业应用开发的复杂性而创建的。Spring Security OAuth2处理认证请求的时候如果使用了whitelabel视图,response_type参数值会被当做Spring SpEL来执行,恶意攻击者通过构造response_type值可以触发远程代码执行漏洞。#按 " i "进行编辑 ,然后复制下面的脚本 , 再按 " Esc "键 ,再按冒号wq " :wq " 保存并退出.先cd到spring目录下的CVE-2016-4977里面,然后使用docker-compose启动环境.
spring boot远程代码执行漏洞复现
qq_63980959的博客
09-20 4863
目前我们所使用的https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot-mysql-jdbc-rce靶场环境存在问题,需要进行相关配置。https://github.com/LandGrey/SpringBootVulExploit#0x07h2-database-console-jndi-rce上的该漏洞复现方式已经不能用了。如果你遇到了程序异常退出问题,可以尝试修改我们的java注入代码。
【干货】Spring远程命令执行漏洞(CVE-2022-22965)原理分析和思考
qq_53058639的博客
07-22 1417
上周网上爆出Spring框架存在RCE漏洞,野外流传了一小段时间后,Spring官方在3月31日正式发布了漏洞信息,漏洞编号为CVE-2022-22965。本文章对该漏洞进行了复现和分析,希望能够帮助到有相关有需要的人员进一步研究。
漏洞分析】Spring远程代码执行漏洞解决方案
olga5abl的博客
04-02 4198
干货!对漏洞排查&处置建议的全面分析
Nette框架未授权任意代码执行漏洞分析
小小猪的博客
11-13 793
Nette框架未授权任意代码执行漏洞分析 漏洞介绍: Nette Framework 是个强大,基于组件的事件驱动 PHP 框架,用来创建 web 应用。Nette Framework 是个现代化风格的 PHP 框架,主要用于国外网站开发,因此国内对该框架的研究比较少。2020年10月,Nette框架被爆出存在未授权任意代码执行漏洞,可通过自有框架控制器MicroPresenter执行任意PHP方法。 环境复现: 通过查询发现该漏洞影响自2.0以来的几乎所有大版本,详细的范围如下 nett..
vulfocus复现:Spring Framework 远程命令执行漏洞
woai_zhongguo的博客
07-18 1103
vulfocus复现:Spring Framework 远程命令执行漏洞
vulfocus thinkphp 代码执行 (CNVD-2018-24942)
03-29
ThinkPHP是一款快速、简单的PHP开发框架,该框架在处理某些特定情况下的输入时存在代码执行漏洞。攻击者可以通过构造恶意的输入数据,利用该漏洞执行任意代码,从而控制服务器。 漏洞影响: ThinkPHP 5.0.x - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ba1s1r

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值