【安全通报】Spring Framework 远程命令执行漏洞(CVE-2022-22965)

已于 2023-12-29 16:35:13 修改
阅读量3.7k 收藏 3
点赞数 2
文章标签: spring 漏洞
于 2022-04-02 14:27:43 首次发布
原文链接:https://nosec.org/home/detail/4983.html
版权

原文:

https://nosec.org/home/detail/4983.html

近日,Spring 官方 GitHub issue中提到了关于 Spring Core 的远程命令执行漏洞,该漏洞广泛存在于Spring 框架以及衍生的框架中。

漏洞描述

Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。

未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。 该漏洞广泛存在于Spring 框架以及衍生的框架中,JDK 9.0及以上版本会受到影响。使用旧JDK版本的产品不受影响。建议存在该漏洞的企业在防火墙处阻止带有特殊字符串的请求,以免受到该漏洞的攻击。

漏洞复现

白帽汇漏洞研究院已通过漏洞复现确认漏洞存在。

FOFA 查询

app="APACHE-Tomcat" || app="vmware-SpringBoot-framework" || app="vmware-SpringBoot-framework" || app="vmware-Spring-Batch" || app="vmware-Spring-framework" || app="vmware-Spring-Security"

影响范围

Spring 框架以及衍生的框架会受到影响。(JDK 版本需在9.0及以上。)

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(上述FOFA查询语句)共有 7,023,506 个相关服务对外开放。中国使用数量最多,共有 2,987,121 个;美国第二,共有 1,215,955 个;巴西第三,共有 381,319 个;韩国第四,共有 219,201 个;德国第五,共有 213,097 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

中国大陆地区北京使用数量最多,共有 394,664 个;广东第二,共有 303,535 个;浙江第三,共有 293,119 个;上海第四,共有 262,491 个;山东第五,共有 142,296 个。

Vulfocus 靶场环境

目前 Vulfocus 已经集成 Spring Core 环境,可通过以下链接启动环境测试:

Spring fr amework Corce 远程命令执行漏洞

也可通过 vulfocus/spring-core-rce-2022-03-29:latest 拉取本地环境运行。

修复建议

升级Spring Framework 版本

Spring Framework == 5.3.18 

Spring Framework == 5.2.20

临时防御方案:

1、 WAF防御。

可以在WAF中添加以下规则对特殊输入的字符串进行过滤:


Class.*

class.*

*.class.*

*Class.*

2、通过黑名单策略进行防护。

您可在受影响产品代码中搜索@InitBinder注解,判断方法体内是否有dataBinder.serDisallowerFields方法,若发现存在该方法,则在黑名单中添加如下过滤规则:


Class.*

class.*

*.class.*

*Class.*

参考

[1] Defensive reference to JNDI API for JDK 9+ (optional `java.naming` module) · Issue #27483 · spring-projects/spring-framework · GitHub

[2] https://github.com/google/tsunami-security-scanner-plugins/issues/234

栈江湖
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2022-22965 GUItools单个图形化利用工具
04-06
3月31日,spring 官方通报Spring 相关框架存在远程代码执行漏洞,并在 5.3.18 和 5.2.20.RELEASE 中修复了该漏洞漏洞评级:严重 影响组件:org.springframework:spring-beans 影响版本:< 5.3.18 和 < 5.2.20.RELEASE 的Spring框架均存在该漏洞,建议用户尽快进行排查处置。 缺陷分析 CVE-2010-1622中曾出现由于参数自动绑定机制导致的问题, 此前通过黑名单的方式修复了该漏洞,但是 JDK9之后引入了 Module,使得可以通过 getModule 绕过前者的黑名单限制,最后导致远程代码执行
spring boot 修复 Spring Framework URL解析不当漏洞CVE-2024-22243)
记录点滴
02-28 5392
一开始我们尝试直接替换spring-web的版本,但是只替换这一个包的话项目启动会报错,通过实践和反复尝试,我们对spring相关的jar包都进行了覆盖,这样可以保持springboot的版本号不变。如果现有项目的大版本是3.x,直接升级即可,但是有些老项目还停留在2.x的版本,官方并没有针对2.x发布新版本,从2.x直接升级到3.x,代价又比较大。其它已经不受官方支持的版本(5.1.x,5.2.x)同样受到影响,更新到受官方支持的安全版本。查看 springboot的版本,只有最新的。
SpringBoot项目中 Spring Framework远程代码执行漏洞的处理方案
最新发布
傲泣龙腾的博客
04-08 1009
公司最近要求对所有项目进行漏洞检测修复,其中有一项漏洞名称为Spring Framework远程代码执行漏洞CVE-2022-22965)需要升级Spring Framework版本解决,如图高危修复建议将Spring Framework升级至安全版本 ,即升级5.2.20及以上版本 或 5.3.18及以上版本,具体官方修复的5.2和5.3版本可以查找。
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
【干货】Spring远程命令执行漏洞CVE-2022-22965)原理分析和思考
小司机的奥拓
07-22 696
上周网上爆出Spring框架存在RCE漏洞,野外流传了一小段时间后,Spring官方在3月31日正式发布了漏洞信息,漏洞编号为CVE-2022-22965。本文章对该漏洞进行了复现和分析,希望能够帮助到有相关有需要的人员进一步研究。##
[CVE-2022-22965]Spring远程代码执行漏洞复现
sGanYu
04-26 4224
漏洞概述(级别:高危) 续上一次Log4j2后,于2022年03月29日,Spring官方发布了Spring框架远程命令执行漏洞公告(CNVD-2022-23942、CVE-2022-22965) 攻击者可以通过构造恶意请求来利用这些漏洞,从而造成任意代码执行,未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行,该漏洞广泛存在于Spring框架以及衍生的框架中,JDK 9.0及以上版本会受到此漏洞影响 FOFA语法 app="APACHE-Tomcat" || app="vmware-Sprin
CVE-2022-22965Spring Framework远程代码执行漏洞
qq_50854662的博客
11-12 1105
CVE-2022-22965Spring Framework远程代码执行漏洞
关于 CVE-2016-1000027/CNNVD-202001-046 Vware Spring Framework 代码问题漏洞
weixin_43600770的博客
08-18 964
目前没有方法能彻底解决这个漏洞,java反序列化本来就是危险的操作,所以针对这个问题,spring团队只能在文档中标注在使用http invoker时注意不要暴露给不信任的client。http invoker本质是通过RPC调用,然后反序列化对象进行通信,在将http invoker端口暴露给不信任的client时就会产生风险。
Spring Framework远程代码执行漏洞
m0_71745903的博客
01-11 579
2022年3月30日,国家信息安全漏洞共享平台(CNVD)发布了Spring框架远程命令执行漏洞(攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,此漏洞POC、技术细节及EXP已大范围公开,此漏洞影响范围极大。目前Spring官方已发布补丁修复该漏洞,强烈建议Spring框架用户立即更新至最新版本。
(CVE-2022-22965)Spring Framework 远程命令执行漏洞(vulfocus复现)
qq_40646572的博客
05-11 804
漏洞SpringFramework数据绑定的一个漏洞,如果后台方法中接受的参数为非基础类型,Spring会根据前端传入的请求正文中的参数的key值来查询与其名称所对应的getter和setter方法,攻击者利用这一特性修改了Tomcat的一个用于日志记录的类的属性,进而当Tomcat在进行写日志操作的时候,将攻击者传递的恶意代码写入指定目录的指定文件中。
Spring Rce 漏洞分析CVE-2022-22965
embelfe_segge的博客
08-02 3782
SpringFramework是一个开源的轻量级J2EE应用程序开发框架。3月31日,VMware发布安全公告,修复了SpringFramework中的远程代码执行漏洞CVE-2022-22965)。在JDK9及以上版本环境下,可以利用此漏洞在未授权的情况下在目标系统上写入恶意程序从而远程执行任意代码。...
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
Spring Framework远程代码执行漏洞_CVE-2022-22965复现
beichenyyds的博客
04-07 3515
1. 漏洞介绍 Spring Framework是一个开源应用框架,初衷是为了降低应用程序开发的复杂度,具有分层体系结构,允许用户选择组件,同时还为 J2EE 应用程序开发提供了一个好用的框架。当Spring部署在JDK9及以上版本,远程攻击者可利用该漏洞写入恶意代码导致远程代码执行。 2、受影响版本 Spring Core <= 5.2.19, <= 5.3.17 Spring Boot <= 2.6.5 3、利用前提 JDK 9 及以上版本 Spring框架的5.3.0
Spring Framework RCE 通过 JDK 9+ 上的数据绑定 (CVE-2022-22965)
我了解豹女就像农民伯伯了解大米
04-18 323
参考Vulhub链接:Vulhub - Docker-Compose file for vulnerability environment 正常启用vulhub环境 手工: 访问:http://192.168.29.130:8080/ 构造payload:发送GET请求: http://192.168.29.130:8080/?class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%..
SpringBoot漏洞
热门推荐
weixin_51151498的博客
01-19 1万+
spring漏洞
Spring Framework 历史漏洞研究
有价值炮灰
04-23 541
本文的主要目标是分析、总结、归纳历史上出现过的 Spring 框架漏洞,从而尝试找出其中的潜在模式,以达到温故知新的目的。当然作为一个 Java 新手,在直接分析漏洞之前,还是会先从开发者的角度去学习 Spring 中的一些核心概念,从而为后续的理解奠定基础。
Spring Framework远程代码执行漏洞CVE-2022-22965
qq_50854662的博客
06-27 619
Spring Framework远程代码执行漏洞CVE-2022-22965
PHP 远程代码执行漏洞(CVE-2022-31625)修复办法
07-14
针对PHP远程代码执行漏洞(CVE-2022-31625),以下是一些修复方法: 1. 更新到最新版本:确保你的PHP版本是最新的,因为漏洞修复通常会包含在更新中。请访问PHP官方网站或者使用包管理工具来获取最新版本。 2. 禁用危险函数:在php.ini配置文件中,禁用危险函数可以帮助防止远程代码执行。可以使用disable_functions指令来禁用一些敏感函数,如eval()、exec()、system()等。 3. 安全配置:检查你的PHP配置文件,确保安全设置已经启用。例如,禁用动态加载扩展、限制文件上传目录和大小、禁用远程文件包含等。 4. 输入验证和过滤:在你的应用程序中对用户输入进行严格的验证和过滤,以防止恶意代码注入。 5. 使用安全框架或库:使用安全框架或库来帮助防止远程代码执行漏洞。这些框架通常提供安全的默认配置和内置的安全功能。 6. 定期更新和监控:定期检查并更新你的应用程序和相关组件,以确保及时修复已知漏洞。同时,监控应用程序的日志和网络流量,以便及时发现异常行为。 请注意,这些方法只是一些常用的修复措施,具体的修复方法可能会因系统配置和应用程序的特定情况而有所不同。建议在修复漏洞之前,先进行充分的测试和备份。此外,如果你不确定如何处理或无法解决该漏洞,请咨询安全专家或PHP开发人员的帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值