Spring Framework 远程命令执行漏洞复现(CVE-2022-22965)
漏洞介绍
Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。
未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。 该漏洞广泛存在于Spring 框架以及衍生的框架中,JDK 9.0及以上版本会受到影响。使用旧JDK版本的产品不受影响。建议存在该漏洞的企业在防火墙处阻止带有特殊字符串的请求,以免受到该漏洞的攻击。
影响范围
Spring 框架以及衍生的框架会受到影响。(JDK 版本需在9.0及以上。)
复现过程
我是直接在Vulfocus 靶场环境搭建的
启动环境