cve-2022-22965是什么,一个至少超越我此刻理解力的漏洞

最新推荐文章于 2024-09-17 22:57:08 发布
最新推荐文章于 2024-09-17 22:57:08 发布
阅读量3.2k 收藏
点赞数
分类专栏: java 文章标签: cve
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lineuman/article/details/123883479
版权

如果说我上一篇文章中介绍的spring-cloud-function的rce还在我的理解范围之内,那么cve-2022-22965已经超出我的理解范围了。也许未来的某一天我有兴趣研究它,但是现在我完全不了解它。

在这里插入图片描述
在这里插入图片描述

只能摘抄一下

CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+

Severity
High

Vendor
Spring by VMware

Description
A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) via data binding. The specific exploit requires the application to run on Tomcat as a WAR deployment. If the application is deployed as a Spring Boot executable jar, i.e. the default, it is not vulnerable to the exploit. However, the nature of the vulnerability is more general, and there may be other ways to exploit it.

These are the prerequisites for the exploit:

JDK 9 or higher
Apache Tomcat as the Servlet container
Packaged as WAR
spring-webmvc or spring-webflux dependency
Affected VMware Products and Versions
Severity is high unless otherwise noted.

Spring Framework
5.3.0 to 5.3.17
5.2.0 to 5.2.19
Older, unsupported versions are also affected
Mitigation

This vulnerability was responsibly reported to VMware by codeplutos, meizjm3i of AntGroup FG Security Lab. A secondary report was also received from Praetorian.

References
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
History
2022-03-31: Initial vulnerability report published.

叶常落
关注
专栏目录
CHES2024 issue-2文章总结
dedanddwb的博客
07-25 477
来源:https://ches.iacr.org/2024/acceptedpapers.php。
Java 全栈知识体系( PDF 可下载)
m0_67698950的博客
03-17 5493
40000 +字长文总结,民工哥已将此文整理成PDF文档了,需要的见文后下载获取方式。 全栈知识体系总览 Java入门与进阶 面向对象与Java基础 Java 基础 - 面向对象 Java 基础 - 知识点 Java 基础 - 图谱 & Q/A 基础知识点复习完了以后,我们需要深入的理解Java中的一些基础机制: Java 基础 - 泛型机制详解 Java泛型这个特性是从JDK 1.5才开始加入的,因此为了兼容之前的版本
Spring Rce 漏洞分析CVE-2022-22965
god_Zeo的安全博客
04-07 1万+
0x01 漏洞介绍 Spring Framework 是一个开源的轻量级J2EE应用程序开发框架。 3月31日,VMware发布安全公告,修复了Spring Framework中的远程代码执行漏洞CVE-2022-22965)。在 JDK 9 及以上版本环境下,可以利用此漏洞在未授权的情况下在目标系统上写入恶意程序从而远程执行任意代码。 0x02 影响范围 影响组件:org.springframework:spring-beans 影响版本:< 5.3.18 和 < 5.2.20.RELEAS
CVE-2022-22965Spring远程代码执行漏洞
热门推荐
一只爱吃橙子的羊
04-09 3万+
CVE-2022-22965Spring Framework远程代码执行漏洞
学习CVE-2022-22965
最新发布
2302_78853575的博客
09-17 839
漏洞复盘CVE-2022-22965
CVE-2022-22965Spring core RCE漏洞
冬的博客
04-11 4358
3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。
春秋云镜 :CVE-2022-22965Spring Framework JDK >= 9 远程代码执行漏洞
m0_65712192的博客
07-27 884
靶标介绍:Spring framework 是Spring 里面的一个基础开源框架,其目的是用于简化 Java 企业级应用的开发难度和开发周期,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVCSpring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。
Spring been CVE-2022-22965
王嘟嘟的博客
04-02 3845
0x00 前言 Spring bean的漏洞被吹的很火,比如放个打码的图片,然后弹个计算器。自己又比较拖拉,所以一直没有写完分析文章。而且Spring相关的内容一直没有整理,可能要到之后慢慢来进行整理。首先来说CVE-2022-22965,实际上这个漏洞的主要成因和cve-2010-1622一样,所以这两个漏洞写在一起。 JDK 9的发布时间为:2017-09-21,也就是说这个漏洞实际上是在野漏洞,距今也有5年了,如果是了解cve-2010-1622漏洞原因以及修复方式的同时了解JDK9的特性,那么这个利
模糊测试--强制性安全漏洞发掘
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
AI周报丨中文巨量模型源1.0比GPT-3强在哪里?;谷歌用协同训练策略实现多个SOTA,单一ViT模型执行多模态多任务
m0_60673947的博客
12-27 1201
01 # 行业大事件 语言大模型的终极目标是什么? 在自然语言处理(NLP)领域,暴力美学仍在延续。 自 2018 年谷歌推出 BERT(3.4 亿参数)以来,语言模型开始朝着「大」演进。国内外先后出现了参数量高达千亿甚至万亿的语言模型,比如谷歌的 T5(110 亿)、OpenAI 的 GPT-3(1,750 亿)、智源研究院的 WuDao2.0(1.75 万亿)…… 有人不禁会问,语言模型的参数越来越大,它们究竟能做些什么,又智能到什么程度了呢? 9 月 28 日,浪潮人工智能研究院推出了中
超越白皮书8:穿云而过的闪电网络
Huobi_Research的博客
08-20 3050
超越白皮书8:穿云而过的闪电网络 摘 要: 近年,随着比特币一步步迈入更多人的视野,其扩展性问题一直如影随形甚至日趋严重,已经成为笼罩在比特币头顶的一大朵乌云。为此学术界和产业界提出了各种解决方案,如区块扩容、分片、侧链等。这其中,支付通道方案中的代表闪电网络恰如其名,似一道穿云而过的闪电,成为解决扩展性问题最耀眼的方案之一,其后雷声阵阵,引众人回首。 自2015年闪电网络白皮书发布后,Lightning Labs、ACINQ、Blockstream作为三个主流的闪电网络技术团队使用不同的程序语言实现了闪电
CVE-2022-22965 GUItools单个图形化利用工具
04-06
3月31日,spring 官方通报了 Spring 相关框架存在远程代码执行漏洞,并在 5.3.18 和 5.2.20.RELEASE 中修复了该漏洞漏洞评级:严重 影响组件:org.springframework:spring-beans 影响版本:< 5.3.18 和 < 5.2.20.RELEASE 的Spring框架均存在该漏洞,建议用户尽快进行排查处置。 缺陷分析 CVE-2010-1622中曾出现由于参数自动绑定机制导致的问题, 此前通过黑名单的方式修复了该漏洞,但是 JDK9之后引入了 Module,使得可以通过 getModule 绕过前者的黑名单限制,最后导致远程代码执行。
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
Spring官宣重大RCE漏洞CVE-2022-22965
码农小胖哥
04-01 2137
沉寂了两天后,Spring官方终于对坊间存在的漏洞进行了公开回应,确实存在RCE漏洞。该漏洞编号为CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+,漏洞级别:Critical。详细描述为:在JDK 9+上运行的Spring MVCSpring WebFlux应用程序可能容易通过数据绑定进行远程...
CVE-2022-22965——Spring Framework远程代码执行漏洞
c0rdXy的博客
09-25 216
Spring Framework远程代码执行漏洞
CVE-2022-22965Spring Framework远程代码执行漏洞
qq_50854662的博客
11-12 3554
CVE-2022-22965Spring Framework远程代码执行漏洞
CVE-2022-22965 Spring远程代码执行漏洞复现
weixin_45260839的博客
05-22 3992
CVE-2022-22965 Spring远程代码执行漏洞复现
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值