SpringBoot项目中 Spring Framework远程代码执行漏洞的处理方案

最新推荐文章于 2024-05-29 14:54:46 发布
最新推荐文章于 2024-05-29 14:54:46 发布
阅读量4k 收藏 32
点赞数 38
分类专栏: 开发技巧 文章标签: spring spring boot Spring漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhmyy521125/article/details/137484259
版权

在这里插入图片描述

😄 19年之后由于某些原因断更了三年,23年重新扬帆起航,推出更多优质博文,希望大家多多支持~
🌷 古之立大事者,不惟有超世之才,亦必有坚忍不拔之志
🎐 个人CSND主页——Micro麦可乐的博客
🐥《Docker实操教程》专栏以最新的Centos版本为基础进行Docker实操教程,入门到实战
🌺《RabbitMQ》本专栏主要介绍使用JAVA开发RabbitMQ的系列教程,从基础知识到项目实战
🌸《设计模式》专栏以实际的生活场景为案例进行讲解,让大家对设计模式有一个更清晰的理解
如果文章能够给大家带来一定的帮助!欢迎关注、评论互动~

这里写目录标题

前言

公司最近要求对所有项目进行漏洞检测修复,其中有一项漏洞名称为 Spring Framework远程代码执行漏洞(CVE-2022-22965) 需要升级Spring Framework版本解决,如图
在这里插入图片描述

  • 该漏洞等级为:高危
  • 影响范围:
    Spring Framework < 5.3.18
    Spring Framework < 5.2.20
  • 修复建议
    将Spring Framework升级至安全版本 ,即升级5.2.20及以上版本 或 5.3.18及以上版本,具体官方修复的5.2和5.3版本可以查找 https://github.com/spring-projects/spring-framework/tags

问题

由于某个项目使用的SpringBoot版本为2.3.11.RELEASE而默认对应的Spring Framework版本为5.2.15.RELEASE,直接升级 5.3.18 及以上版本会导致项目各种报错,这里博主还是决定升级为5.2.20.RELEASE

基于spring-boot-starter-parent方式解决

这种方式通过 spring-boot-starter-parent 引入并使用spring boot,这种方式只需要在pom文件中加入springframework 的版本号变量就可以覆盖版本号的定义

   <parent>
        <artifactId>spring-boot-starter-parent</artifactId>
        <groupId>org.springframework.boot</groupId>
        <version>2.3.11.RELEASE</version>
    </parent>

    <properties>
        <spring-framework.version>5.2.20.RELEASE</spring-framework.version>
    </properties>

基于spring-boot-dependencies方式解决

通过在dependencyManagement中加入对应的spring-framework-bom处理,在此之前我们可以查看spring-boot-dependencies.pom配置可以看到对应spring-framework版本,以及spring-framework-bom的相关配置
在这里插入图片描述

<dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.springframework</groupId>
                <artifactId>spring-framework-bom</artifactId>
                <version>5.2.20.RELEASE</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
            
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-dependencies</artifactId>
                <version>2.3.11.RELEASE</version>
                <scope>import</scope>
                <type>pom</type>
            </dependency>
        </dependencies>
    </dependencyManagement>

值得注意的是spring-framework-bom必须在spring-boot-dependencies之前否则不生效!

检查是否完成升级

通过maven刷新项目,查看项目依赖,检查springframework是否升级到了指定版本
在这里插入图片描述

结语

本文主要和大家分享一下博主本次处理低版本SpringBoot项目的Spring Framework远程代码执行漏洞的方案,具体升级至什么版本主要还是看大家使用的SpringBoot版本决定

Micro麦可乐
关注
  • 38
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 12
    评论
专栏目录
Spring Framework 远程命令执行漏洞CVE-2022-22965
qq_32445755的博客
03-31 344
简介 Spring core是Spring系列产品用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。 未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。 该漏洞广泛存在于Spring 框架以及衍生的框架,并JDK 9.0及以上版本会受到影响。 Spring 0day漏洞 影响范围 JDK9 <= Spring Cloud Function JDK9及其以上版本; 使⽤了Spring-bean
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
在2022年,Spring Framework 发现了一个严重的远程命令执行(RCE)漏洞,被称为CVE-2022-22965,也被称为“Spring4Shell”。这个漏洞对使用Spring Framework的应用程序构成了重大威胁,因为攻击者可以利用它来执行...
最新漏洞Spring Framework远程代码执行漏洞
持 开源思想,撰 必胜所学,望 勤学者,无难处
03-31 4717
Spring Framework远程代码执行漏洞 发布时间 2022-03-31 漏洞等级 High CVE编号 CVE-2022-22965 影响范围:同时满足以下三个条件可确定受此漏洞影响: JDK 版本 >= 9 使用了 Spring 框架或衍生框架 项目 Controller 参数接收实体类对象并存在代码调用 1.漏洞描述 Spring Framework 是一个开源应用框架,旨在降低应用程序开发的复杂度。它是轻量级、松散耦合的。它具有分层体系结构,允许用户选择组件,同时还为 J2
Spring 框架远程代码执行漏洞(CVE-2022-22965)
panda的博客
04-08 4645
Spring 框架远程代码执行漏洞(CVE-2022-22965)
Spring Web UriComponentsBuilder URL解析不当漏洞(CVE-2024-22243)
最新发布
hxnwdcbb的博客
05-29 368
allowedOriginPatterns("*") 得替换成他。springboot 版本2.x 的 解决 办法。指定framework 版本 需要注意的是 跨域。在properties下 加。
Spring Framework远程代码执行漏洞(CVE-2022-22965)
热门推荐
chaojixiaojingang
04-06 1万+
1.漏洞描述 由于Spring处理流程存在缺陷,在JDK9及以上版本的Spring框架环境远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并注入恶意字段值,触发pipeline机制,从而在任意路径下写入文件。远程攻击者可利用该漏洞写入恶意代码导致远程代码执行。 2.影响版本 JDK >= 9 & 5.3.X < Spring Framework < 5.3.18 JDK >= 9 & 5.2.X ...
[2022.3.30安全漏洞]Spring Framework远程代码执行漏洞
DynmicResource的博客
04-01 3054
一起养成写作习惯!这是我参与「掘金日新计划 · 4 月更文挑战」的第1天,点击查看活动详情。 2022年3月30日,国家信息安全漏洞共享平台(CNVD)发布了Spring框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。 目前,此漏洞POC、技术细节及EXP已大范围公开,此漏洞影响范围极大。目前Spring官方已发布补丁修复该漏洞...
Spring Framework远程代码执行漏洞_CVE-2022-22965复现
beichenyyds的博客
04-07 3716
1. 漏洞介绍 Spring Framework是一个开源应用框架,初衷是为了降低应用程序开发的复杂度,具有分层体系结构,允许用户选择组件,同时还为 J2EE 应用程序开发提供了一个好用的框架。当Spring部署在JDK9及以上版本,远程攻击者可利用该漏洞写入恶意代码导致远程代码执行。 2、受影响版本 Spring Core <= 5.2.19, <= 5.3.17 Spring Boot <= 2.6.5 3、利用前提 JDK 9 及以上版本 Spring框架的5.3.0
Spring框架(Framework)存在远程命令执行漏洞
qq_20025777的博客
08-31 549
Spring框架存在远程命令执行漏洞
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring Security、JWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
基于springboot的在线远程考试系统代码
03-20
基于springboot的在线远程考试系统代码 1、在线远程考试系统的技术栈、环境、工具、软件: ① 系统环境:Windows/Mac ② 开发语言:Java ③ 框架:SpringBoot ④ 架构:B/S、MVC ⑤ 开发环境:IDEA、JDK、Maven、Mysql...
【安全通报】Spring Framework 远程命令执行漏洞(CVE-2022-22965)
Hanko的专栏
04-02 3816
原文: https://nosec.org/home/detail/4983.html 近日,Spring 官方 GitHub issue提到了关于 Spring Core 的远程命令执行漏洞,该漏洞广泛存在于Spring 框架以及衍生的框架漏洞描述 Spring core是Spring系列产品用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。 未经身份验证的攻击者可以使用此漏洞进行远程任意代码
vulfocus复现:Spring Framework 远程命令执行漏洞
woai_zhongguo的博客
07-18 1020
vulfocus复现:Spring Framework 远程命令执行漏洞
(CVE-2022-22965)Spring Framework 远程命令执行漏洞(vulfocus复现)
qq_40646572的博客
05-11 830
漏洞SpringFramework数据绑定的一个漏洞,如果后台方法接受的参数为非基础类型,Spring会根据前端传入的请求正文的参数的key值来查询与其名称所对应的getter和setter方法,攻击者利用这一特性修改了Tomcat的一个用于日志记录的类的属性,进而当Tomcat在进行写日志操作的时候,将攻击者传递的恶意代码写入指定目录的指定文件
Spring Framework远程代码执行漏洞
m0_71745903的博客
01-11 682
2022年3月30日,国家信息安全漏洞共享平台(CNVD)发布了Spring框架远程命令执行漏洞(攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,此漏洞POC、技术细节及EXP已大范围公开,此漏洞影响范围极大。目前Spring官方已发布补丁修复该漏洞,强烈建议Spring框架用户立即更新至最新版本。
安全修复之Web——Spring Framework 远程代码执行漏洞
CN華少的博客
05-21 378
安全修复之Web——Spring Framework 远程代码执行漏洞 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:Java...
Spring Cloud 再爆高危漏洞.... 赶紧修复
终码一生
03-07 5137
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway又突发高危漏洞,又得折腾了。。。 2022年3月1日,Spring官方发布了关于Spring Cloud Gateway的两个CVE漏洞,分别为CVE-2022-22946与CVE-2022-22947: 版本/分支/tag:3.4.X 问题描述: Spring Cloud Gateway 是 Spring Cloud .
漏洞复现】CVE-2022-22965 Spring Framework远程代码执行漏洞
m0_53121608的博客
07-16 197
服务启动后,访问http://your-ip:8080/?name=Steve&age=25即可看到一个演示页面。
springboot如何升级Spring Framework
05-30
要升级 Spring Framework 版本,您可以按照以下步骤进行操作: 1. 打开您的 Spring Boot 项目,并在 pom.xml 文件找到 Spring Framework 相关的依赖项。 2. 更改版本号为所需的版本号。您可以在 Spring Framework 官方网站上查看最新版本号。 3. 保存 pom.xml 文件。 4. 在命令导航到项目目录,并运行以下命令: ``` mvn clean install ``` 这将更新 Maven 依赖并重新构建项目。 5. 如果您使用的是 Spring Boot 2.4 或更高版本,则可以使用 Spring Boot Maven 插件来升级 Spring Framework 版本。您可以在 pom.xml 文件添加以下代码: ``` <properties> <spring.version>5.3.5</spring.version> </properties> <build> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> <executions> <execution> <goals> <goal>repackage</goal> </goals> </execution> </executions> <configuration> <mainClass>${start-class}</mainClass> </configuration> </plugin> </plugins> </build> ``` 在上面的示例,您可以将 `<spring.version>` 更改为所需的版本号。 6. 保存 pom.xml 文件,并在命令导航到项目目录,运行以下命令: ``` mvn spring-boot:run ``` 这将使用更新后的 Spring Framework 版本重新启动应用程序。 请注意,在升级 Spring Framework 时,可能会发生不兼容的更改,因此在升级之前,请确保您的代码已经过充分测试,并准备好解决任何可能出现的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Micro麦可乐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值