Spring Framework 远程命令执行漏洞CVE-2022-22965

已于 2022-07-07 15:42:16 修改
阅读量344 收藏
点赞数
分类专栏: 漏洞复现 文章标签: spring cloud
于 2022-03-31 14:34:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32445755/article/details/123870842
版权

简介

Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。 未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。 该漏洞广泛存在于Spring 框架以及衍生的框架中,并JDK 9.0及以上版本会受到影响。

Spring 0day漏洞

影响范围

JDK9 <= Spring Cloud Function

JDK9及其以上版本; 使⽤了Spring-beans包; 使⽤了Spring参数绑定; Spring参数绑定使⽤的是⾮基本参数类型,例如⼀般的POJO即可;

Pojo

了解本专栏 订阅专栏 解锁全文 超级会员免费看
qq_1136014935
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
2022年,Spring Framework 发现了一个严重的远程命令执行(RCE)漏洞,被称为CVE-2022-22965,也被称为“Spring4Shell”。这个漏洞对使用Spring Framework的应用程序构成了重大威胁,因为攻击者可以利用它来执行...
CVE-2022-22965Spring Framework远程代码执行漏洞
qq_50854662的博客
11-12 1967
CVE-2022-22965Spring Framework远程代码执行漏洞
Spring Framework远程代码执行漏洞
m0_71745903的博客
01-11 682
2022年3月30日,国家信息安全漏洞共享平台(CNVD)发布了Spring框架远程命令执行漏洞(攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,此漏洞POC、技术细节及EXP已大范围公开,此漏洞影响范围极大。目前Spring官方已发布补丁修复该漏洞,强烈建议Spring框架用户立即更新至最新版本。
CVE-2024-21006-weblogic远程命令执行漏洞
最新发布
zwy15288408160的博客
04-25 2041
Oracle WebLogic Server 存在远程命令执行漏洞CVE-2024-21006),该漏洞源于T3/IIOP协议存在缺陷,未经身份验证的攻击者可通过T3/IIOP协议受影响的服务器发送恶意的请求,利用LDAP工具执行任意代码。
Spring Framework远程代码执行漏洞CVE-2022-22965
qq_50854662的博客
06-27 895
Spring Framework远程代码执行漏洞CVE-2022-22965
【干货】Spring远程命令执行漏洞CVE-2022-22965)原理分析和思考
小司机的奥拓
07-22 740
上周网上爆出Spring框架存在RCE漏洞,野外流传了一小段时间后,Spring官方在3月31日正式发布了漏洞信息,漏洞编号为CVE-2022-22965。本文章对该漏洞进行了复现和分析,希望能够帮助到有相关有需要的人员进一步研究。##
(CVE-2022-22965)Spring Framework 远程命令执行漏洞(vulfocus复现)
qq_40646572的博客
05-11 830
漏洞SpringFramework数据绑定的一个漏洞,如果后台方法中接受的参数为非基础类型,Spring会根据前端传入的请求正文中的参数的key值来查询与其名称所对应的getter和setter方法,攻击者利用这一特性修改了Tomcat的一个用于日志记录的类的属性,进而当Tomcat在进行写日志操作的时候,将攻击者传递的恶意代码写入指定目录的指定文件中。
Spring 远程命令执行漏洞分析(CVE-2022-22965
weixin_43263451的博客
08-14 3805
最近想学习学习spring框架方面的漏洞。刚好今年上半年爆了一个spring框架的远程命令执行漏洞,随即赶紧来分析一波这个漏洞总的来说是因为:通过spring参数绑定处存在的缺陷使得可以修改tomcat的日志记录相关类AccessLogValve的成员变量从而达到修改tomcat日志记录的配置,最终导致写入jsp马class.module.classLoader.resources.context.parent.pipeline.first.pattern=此处为webshell内容............
CVE-2022-22965 GUItools单个图形化利用工具
04-06
CVE-2010-1622中曾出现由于参数自动绑定机制导致的问题, 此前通过黑名单的方式修复了该漏洞,但是 JDK9之后引入了 Module,使得可以通过 getModule 绕过前者的黑名单限制,最后导致远程代码执行
CVE-2022-22947-Spring-Cloud-Gateway 内存马POC
03-29
1.漏洞描述 Spring Cloud Gateway 是基于 Spring FrameworkSpring Boot ...攻击者可以发送特制的恶意请求,从而远程执行任意代码。 2.影响版本 3.1.0 3.0.0至3.0.6 Spring Cloud Gateway 其他已不再更新的版本
Spring frameworkcve-2010-1622)漏洞利用指南1
08-08
Spring框架(CVE-2010-1622)漏洞分析与利用探讨》 Spring框架,作为Java领域广泛使用的轻量级应用框架,其安全性一直是开发者关注的重点。2010年出现的CVE-2010-1622漏洞,尽管在当时并未引发大规模的利用,但其...
Spring Framework远程代码执行漏洞(CVE-2022-22965)
热门推荐
chaojixiaojingang
04-06 1万+
1.漏洞描述 由于Spring处理流程存在缺陷,在JDK9及以上版本的Spring框架环境中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并注入恶意字段值,触发pipeline机制,从而在任意路径下写入文件。远程攻击者可利用该漏洞写入恶意代码导致远程代码执行。 2.影响版本 JDK >= 9 & 5.3.X < Spring Framework < 5.3.18 JDK >= 9 & 5.2.X ...
SpringBoot项目中 Spring Framework远程代码执行漏洞的处理方案
傲泣龙腾的博客
04-08 4083
公司最近要求对所有项目进行漏洞检测修复,其中有一项漏洞名称为Spring Framework远程代码执行漏洞CVE-2022-22965)需要升级Spring Framework版本解决,如图高危修复建议将Spring Framework升级至安全版本 ,即升级5.2.20及以上版本 或 5.3.18及以上版本,具体官方修复的5.2和5.3版本可以查找。
漏洞复现】CVE-2022-22965 Spring Framework远程代码执行漏洞
m0_53121608的博客
07-16 197
服务启动后,访问http://your-ip:8080/?name=Steve&age=25即可看到一个演示页面。
Spring框架(Framework)存在远程命令执行漏洞
qq_20025777的博客
08-31 549
Spring框架存在远程命令执行漏洞
spring framework远程代码执行漏洞复现(CNVD-2022-23942 CVE-2022-22965
yang1234567898的博客
04-18 7004
3 月 30 日,国家信息安全漏洞共享平台(CNVD)接收到蚂蚁科技集团股份有限公司报送的 Spring 框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。CNVD 对该漏洞的综合评级为“高危”。 漏洞影响: JDK9+ 使用了 Spring 框架或衍生框架 Apache Tomcat 作为 Servlet 容器 spring-webmvc 或 spring-webflux 依赖 Spring Framework 版本 5.3.0..

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qq_1136014935

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值