Spring Framework爆出远程代码执行漏洞

最新推荐文章于 2024-04-08 01:28:12 发布
最新推荐文章于 2024-04-08 01:28:12 发布
阅读量787 收藏
点赞数
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nethackatschool/article/details/124784353
版权

Spring Framework 爆出远程代码执行漏洞!

这个漏洞(CVE-2022-22965)是在2022年3月31日,Spring官网发布的,离现在已经一个多月了,可能还有很多开发者没有了解过。如果在JDK9环境下,攻击者可以通过利用SpringMVC的参数绑定功能,实现对目标程序写入恶意代码来达到入侵的目的。

漏洞触发条件

  1. 使用jdk9+版本
  2. 使用Spring-webmvc并且使用了参数绑定功能(一般使用了spring-webmvc肯定用到了参数绑定)
  3. 使用war包部署在servlet 容器中如apache tomcat

漏洞复现

这个漏洞触发原因之一就是spring的参数绑定功能,对于企业级java开发程序员来说,spring的参数绑定再熟悉不过了。参数绑定使用在controller方法参数上,参数绑定功能被用来解析http请求参数(查询参数或表单数据)进而填充到对象中。接下来我们通过一个例子来复现这个漏洞

@RestController
public class DemoController {


    @GetMapping("/test")
    public String test(User user) {
        return "hello "+user.getUsername();
    }
}

public class User {

    private String username;

    public String getUsername() {
        return username;
    }

    public void
最低0.47元/天 解锁文章
lance小码匠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2022-22965:Spring远程代码执行漏洞
m0_67392273的博客
07-31 368
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。SpringframeworkSpring里面的一个基础开源框架,其目的是用于简化Java企业级应用的开发难度和开发周期,2022年3月31日,VMwareTanzu发布漏洞报告,SpringFramework存在远程代码执行漏洞,在JDK9+上运行的SpringMVC或SpringWebFlux应用程序可能容易受到通过数据绑定的远程代码执行(RCE)的攻击。...
Spring Framework远程代码执行漏洞(CVE-2022-22965)
热门推荐
chaojixiaojingang
04-06 1万+
1.漏洞描述 由于Spring处理流程存在缺陷,在JDK9及以上版本的Spring框架环境中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并注入恶意字段值,触发pipeline机制,从而在任意路径下写入文件。远程攻击者利用漏洞写入恶意代码导致远程代码执行。 2.影响版本 JDK >= 9 & 5.3.X < Spring Framework < 5.3.18 JDK >= 9 & 5.2.X ...
SpringBoot项目中 Spring Framework远程代码执行漏洞的处理方案
最新发布
傲泣龙腾的博客
04-08 3645
公司最近要求对所有项目进行漏洞检测修复,其中有一项漏洞名称为Spring Framework远程代码执行漏洞(CVE-2022-22965)需要升级Spring Framework版本解决,如图高危修复建议将Spring Framework升级至安全版本 ,即升级5.2.20及以上版本 或 5.3.18及以上版本,具体官方修复的5.2和5.3版本可以查找。
Spring Framework远程代码执行漏洞(CVE-2022-22965)
qq_50854662的博客
06-27 862
Spring Framework远程代码执行漏洞(CVE-2022-22965)
Spring Framework远程代码执行漏洞
m0_71745903的博客
01-11 673
2022年3月30日,国家信息安全漏洞共享平台(CNVD)发布了Spring框架远程命令执行漏洞攻击者利用漏洞,可在未授权的情况下远程执行命令。目前,此漏洞POC、技术细节及EXP已大范围公开,此漏洞影响范围极大。目前Spring官方已发布补丁修复该漏洞,强烈建议Spring框架用户立即更新至最新版本。
Spring Framework远程代码执行漏洞_CVE-2022-22965复现
ANYOUZHEN的博客
06-04 879
漏洞描述及背景:准备复现在kali上使用vulhub打开环境: docker-compose up -d查看vulhub的信息,可以看到端口为8080,输入网址http://127.0.0.1:8080/ 按照作者的链接:http://127.0.0.1:8080/?name=Bob&age=25 然后根据提示,构造请求地址: 对该地址进行抓包,抓包前记得修改bp默认端口,因为默认端口8080和本次ip地址冲突了,改完后记得把火狐插件上面的也进行更改,反正不是8080就行。(这里建议弄两个,一个8080
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
Spring Framework反射型文件下载漏洞
05-08
Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和更旧的不受支持版本中,可能会绕过CVE-2015-5211对RFD攻击的保护,具体取决于通过使用jsessionid路径参数使用的浏览器。
spring-framework-5.0.5.RELEASE 漏洞修复
04-11
Spring框架中的spring-messaging模块提供了一种基于WebSocket的STOMP协议实现,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,因此攻击者可以通过构造恶意的消息来实现远程代码执行。 Windows平台...
Spring Framework API文档
01-16
Spring Framework API文档。Spring是什么呢?首先它是一个开源的项目,而且非常活跃;它是一个基于IOC和AOP的构架多层j2ee系统的框架,但它不强迫你必须在每一层中必须使用Spring,因为它模块化的很好,允许你根据...
Spring框架(Framework)存在远程命令执行漏洞
qq_20025777的博客
08-31 547
Spring框架存在远程命令执行漏洞
春秋云镜 :CVE-2022-22965(Spring Framework JDK >= 9 远程代码执行漏洞
m0_65712192的博客
07-27 637
靶标介绍:Spring frameworkSpring 里面的一个基础开源框架,其目的是用于简化 Java 企业级应用的开发难度和开发周期,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。
Spring WebFlow 远程代码执行漏洞(CVE-2017-4971)
fzy2003的博客
07-06 367
漏洞在2017年5月31号被提交到https://pivotal.io/security/cve-2017-4971平台,官方并没有详细的信息,通过官方描述和补丁的对比,我们可以大致推断应该是Spring WebFlow在Model的数据绑定上面,由于没有明确指定相关model的具体属性导致从表单可以提交恶意的表达式从而被执行,导致任意代码执行漏洞,这个漏洞利用除了版本的限制之外还有两个前置条件,这两个前置条件中有一个是默认配置,另外一个就是编码规范了,漏洞能不能利用成功主要就取决于后面的条件。
【干货】Spring远程命令执行漏洞(CVE-2022-22965)原理分析和思考
qq_53058639的博客
07-22 1368
上周网上爆出Spring框架存在RCE漏洞,野外流传了一小段时间后,Spring官方在3月31日正式发布了漏洞信息,漏洞编号为CVE-2022-22965。本文章对该漏洞进行了复现和分析,希望能够帮助到有相关有需要的人员进一步研究。
最新漏洞Spring Framework远程代码执行漏洞
「 虚幻私塾」
04-01 464
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 Spring Framework远程代码执行漏洞 发布时间 2022-03-31 漏洞等级 High CVE编号 CVE-2022-22965 影响范围:同时满足以下三个条件可确定受此漏洞影响: JDK 版本 >= 9 使用了 Spring 框架或衍生框架 项目中
spring框架漏洞整理(Spring WebFlow远程代码执行)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 335
Spring WebFlow远程代码执行 (CVE-2017-4971)Spring WebFlow 远程代码执行 Spring WebFlow 远程代码执行影响范围:Spring WebFlow 2.4.0 - 2.4.4 Spring WebFlow 远程代码执行复现环境:vulhub Spring WebFlow 远程代码执行复现过程:
Spring Web Flow 远程代码执行漏洞分析
fly小灰灰的专栏
07-30 4641
1. 漏洞描述 漏洞编号: CVE-2017-4971 漏洞简述: 由于Spring的框架越来越多,而且后面引入了SpringEl作为默认的表达式解析方式,所以一旦引入了类似于OGNL的表达式,很可能会带来一些安全问题,本次漏洞就是由于Spring WebFlow的数据绑定问题带来的表达式注入,从而导致任意代码执行。 影响版本: Spring Web Flow 2.4.0 to 2.4.4 2. 漏
rmi远程反序列化rce漏洞_Spring框架的反序列化远程代码执行漏洞分析(转)
06-06
Spring框架的反序列化远程代码执行漏洞,则是指攻击者可以通过构造恶意的序列化数据,使得Spring框架在反序列化时执行恶意代码,从而导致远程代码执行漏洞。这个漏洞的影响范围非常广泛,涵盖了Spring框架的多个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值