Spring 官宣高危漏洞 springboot 2.6.6 已修复

最新推荐文章于 2023-12-02 01:51:04 发布
VIP文章 最新推荐文章于 2023-12-02 01:51:04 发布
阅读量988 收藏 2
点赞数
分类专栏: springcloud SpringCloudAlibaba springboot 文章标签: java spring boot spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010253246/article/details/124097641
版权

前几天爆出来的 Spring 漏洞,刚修复完又来?

漏洞 CVE-2022-22965
漏洞名称 远程代码执行漏洞
严重级别 高危
影响范围 Spring Framework
- 5.3.0 ~ 5.3.17
- 5.2.0 ~ 5.2.19
- 老版本及其他不受支持的版本

这次是高危,必须引起重视

用户可以通过数据绑定的方式引发远程代码执行 (RCE) 攻击漏洞,触发的前提条件如下:

  • JDK 9+
  • Apache Tomcat(war 包部署形式)
  • Spring MVC/ Spring WebFlux 应用程序

使用 Spring Boot 开发一般都是打成 jar 包,默认内嵌 Tomcat 形式,这对使用 Docker/ 微服务这种应用特别合适,但也可以切换为 war 包部署,但很少使用,但也不是没有,比如说一般的传统项目,为了兼容老环境,或者运维统一维护 Tomcat 环境,可能也会使用 war 包部署。

所以,如果你使用的是默认的 Spring Boot 可执行 jar 包默认内嵌 Tomcat 部署,则不受影响,但由于这个漏洞的普遍性,可能还有其他方式进行利用。。难道这就是 Early Announcement 的含义?还来,真要搞疯了!

如果你想关注和学习最新、最主流的 Java 技术ÿ

最低0.47元/天 解锁文章
FH-Admin
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot-springsecurity-demo
12-27
结合springboot-springsecurity笔记的代码
探索SpringMVC-HandlerAdapter之RequestMappingHandlerAdapter
Evan_L的博客
01-11 691
在前面理解了参数解析、返回值处理,我们来了解整个RequstMappingHandlerAdapter是怎么设计和串联的。
漏洞分析|openfire web管理员控制台验证绕过漏洞(CVE-2023-32315)
xuandaoren的博客
11-27 294
其中,builder用于存储解码后的路径字符串,如果遇到%,会检查builder是否为null,如果是的话,就说明还没有解码过任何字符,需要先将%前面的字符拷贝到builder中,这样做的目的是保证解码后的uri路径完整。因为匹配到excludes存在的setup/setup-*,进入url检测,这里已经对”..”以及”%2e”进行了过滤,所以普通的路径遍历特征都会被拦截,但新版本中的Jetty Web服务器支持对%u002e这类非标准unicode uri的解析,也就又给攻击者提供了一种利用方式。
Nexus远程命令执行CVE-2020-10199
Adminxe的博客
12-03 1068
0x01 漏洞描述 2020年03月31 日,Sonatype 官方发布安全公告,声明修复了存在于 Nexus Repository Manager 3 中的远程代码执行漏洞 CVE-2020-10199。   Sonatype Nexus 是一个 Maven 的仓库管理系统,它提供了强大的仓库管理、构件搜索等功能,并且可以用来搭建 Maven 仓库私服,在代理远程仓库的同时维护本地仓库,以节省带宽和时间。   在 Nexus Repository Manager OSS/Pro 3.21.1 及..
疯了..Spring 再爆惊天大漏洞。。
Java技术栈,分享最主流的Java技术
04-01 571
Spring 官宣高危漏洞 大家好,我是栈长。 前几天爆出来的 Spring 漏洞,刚修复完又来? 今天愚人节来了,这是和大家开玩笑吗? 不是的,我也是猝不及防!这个玩笑也开的太大了!! 你之前看到的这个漏洞已经是过去式了: 我以为是终点,没想到只是起点,现在 Spring 又官宣了最新的高危漏洞: Early Announcement??这只是一个早期的公告?可能还有中期?后期?往下面继续看就知道了! 漏洞详情 漏洞 CVE-2022-22965 漏洞名称 远程代码执行漏洞 严重级别
FHAdmin任意文件上传getShell渗透测试
kelenwait的博客
06-25 1423
简介 FHAdmin于2014年发布,由JAVA语言编写,是集成了代码生成、权限管理等基础功能的Java快速开发框架及平台,同时为适应技术的更新的迭代,也推出了更新框架和技术架构后的版本。 漏洞复现 任意文件上传 /;/plugins/uploadify/uploadFile.jsp?uploadPath=/plugins/uploadify/ 存在任意文件上传。 poc POST //;a/plugins/uploadify/uploadFile.jsp?uploadPath=/plugins/uploa
【严重】基于 Thymeleaf 沙箱逃逸的 Spring Boot Admin 远程代码执行漏洞(PoC)
murphysec的博客
07-24 1350
Thymeleaf 是用于构建动态的 Web 应用程序的 Java 模板引擎,Spring Boot Admin 是开源的管理和监控 Spring Boot 应用程序的Web UI。
FH Admin Shiro反序列化漏洞复现
最新发布
0xSec
12-02 832
FH Admin CMS存在 shiro 反序列化漏洞,该漏洞源于软件存在硬编码的 shiro-key,攻击者可利用该 key 生成恶意的序列化数据,在服务器上执行任意代码,执行系统命令、或打入内存马等,获取服务器权限。
SpringBoot漏洞
热门推荐
weixin_51151498的博客
01-19 1万+
spring漏洞
SpringBoot漏洞复现
懂进攻知防守
08-01 4897
SpringBoot基本上是Spring框架的扩展。Actuator是Springboot提供的用来对应用系统进行自省和监控的功能模块,借助于Actuator,开发者可以很方便地对应用系统的某些监控指标进行查看、统计等。在Actuator启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。......
SpringBoot整合Spring Data Elasticsearch的过程详解
08-25
主要介绍了SpringBoot整合Spring Data Elasticsearch的过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Springboot es包版本异常解决方案
08-19
主要介绍了springboot 项目依赖 es包版本异常,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
使用Gradle 构建spring Boot工程系列项目源码(配合第五篇文章)
06-19
使用Gradle 构建spring Boot工程系列
SpringBoot-Swagger2:Swaage2和Spring Boot示例
05-11
SpringBoot-Swagger2 Swaage2和Spring Boot示例
spring cloud alibaba springboot nacos 版本对应
03-16 8209
组件版本关系 每个 Spring Cloud Alibaba 版本及其自身所适配的各组件对应版本(经过验证,自行搭配各组件版本不保证可用)如下表所示(最新版本用*标记): Spring Cloud Alibaba Version Sentinel Version Nacos Version RocketMQ Version Dubbo Version Seata Version 2021.0.1.0* 1.8.3 1.
activiti 和 flowable 哪个好
04-10 6681
activiti5以及activiti6、flowable是Tijs Rademakers团队开发的。 Activiti7是Salaboy团队开发的。activiti6以及activiti5代码目前有Salaboy团队进行维护。因为Tijs Rademakers团队去开发flowable框架了,所以activiti6以及activiti5代码已经交接给了Salaboy团队(可以理解为离职之前工作交接)(flowable www.fhadmin.org )。目前的activiti5以及activiti...
springcloud 网关组件 zuul 与 gateway的区别
05-25 4039
zuul1与spring-cloud-gateway的区别 Zuul: 是netflix公司的项目,本质上是web servlet,基于JavaEE Servlet技术栈,使用阻塞API,处理的是http请求,没有提供异步支持,不支持任何长连接,比如websocket。 依赖: <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>s.
springcloud Alibaba 2021.0.1.0 springboot 2.7.0 整合 Swagger3.0 报错解决方案
05-23 4013
1. 引入依赖,版本 3.0.0 只引入一个即可 <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-boot-starter</artifactId> <version>3.0.0</version> </dependency> 2. 配置类 SwaggerConfig pac
Log4j 漏洞修复和临时补救方法
12-14 3717
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
springboot 2.6.6 需要使用springcloud 版本几
06-01
和干旱等极端气候事件会破坏海洋生态系统的平衡,导致物种灭绝和海洋生态系统的崩溃。 重金属污染对海洋生态系统的影响 1. 铅 铅是Spring Boot 2.6.6可以使用以下Spring Cloud版本: - Spring Cloud 2021.0.x(codename: Il一种常见的重金属,它会对海洋生态系统和人类健康产生负面影响。ford) - Spring Cloud 2020.0.x(codename: Hoxton) 建议使用Spring Cloud 2021.0铅可以通过工业排放和废水排放等途径进入海洋中。铅会在海洋中积累.x版本,因为它支持最新的Spring Boot版本,并提供了最新的功能和改进。您可以在,并对海洋生物的生长和繁殖产生负面影响。此外,铅还会进入人类项目的pom.xml文件中添加以下依赖项来使用Spring Cloud 2021.0.x: ``` <dependencyManagement> <dependencies> <!-- Spring Cloud Ilford --> <dependency> <groupId>org.springframework.cloud</groupId> <artifact的食物链中,对人类健康产生危害。 2. 汞 汞也是一种常见的重Id>spring-cloud-dependencies</artifactId> <version>2021.0.0</version> <type>pom</金属,它会对海洋生态系统和人类健康产生负面影响。汞可以通过工业排type> <scope>import</scope> </dependency> </dependencies> </dependencyManagement> ``` 同时,您还需要放和废水排放等途径进入海洋中。汞会在海洋中积累,并对海洋生物添加需要的Spring Cloud组件的依赖项,例如: ``` <dependencies> <!-- Spring Cloud Config --> <dependency> 的生长和繁殖产生负面影响。此外,汞还会进入人类的食物链中, <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-config-client</artifactId> </dependency> <!--对人类健康产生危害。 3. 镉 镉也是一种常见的重金属,它会对 Spring Cloud Eureka --> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-net海洋生态系统和人类健康产生负面影响。镉可以通过工业排放和废水排放flix-eureka-client</artifactId> </dependency> <!-- 其他依赖项 --> </dependencies> ``` 请注意,您等途径进入海洋中。镉会在海洋中积累,并对海洋生物的生长和繁殖需要根据您的项目需求选择适当的Spring Cloud组件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值