Spring 最新漏洞修复

最新推荐文章于 2025-03-25 02:14:03 发布
最新推荐文章于 2025-03-25 02:14:03 发布
阅读量3.1k 收藏
点赞数
分类专栏: 运维相关 Spring 文章标签: Spring Spring漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42272869/article/details/124250252
版权
Spring社区发布了针对JDK9+环境中SpringMVC和WebFlux应用的漏洞补丁,漏洞允许未经授权的命令执行。推荐升级Spring到5.3.18及以上、Tomcat至相应版本,或考虑降级JDK或限制敏感操作以保护应用安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Spring 最新漏洞修复

描述

Spring 社区 发布了一个最新的漏掉,如下:
请添加图片描述

漏洞描述:攻击者可以利用该漏洞,在未授权的情况下远程执行命令。

问题处理

1、影响范围

该漏洞的利用需要满足下面的条件:

  • JDK 9 +
  • 使用Apache Tomcat部署(Tomcat 10.0.19、9.0.61、8.5.78 和更早的版本已知易受攻击)
  • 使用WAR方式打包
  • 依赖 spring-webmvc 或 spring-webflux

即该漏洞影响在 JDK 9+ 上运行的 Spring MVC 和 Spring WebFlux 应用程序。具体的利用需要将应用程序打包并部署为 Servlet 容器上的传统 WAR。如果应用程序被部署为 Spring Boot 可执行 jar,即默认值,则它不易受到漏洞利用。但是,该漏洞的性质更为普遍,可能还有其他方法可以利用它~

2、解决方案

Sping官方有以下几种解决方案:

(1)Spring升级(首选)

  • Spring 5.3.x 升级到5.3.18+ (含5.3.18,下面同理)
  • Spring 5.2.x 升级到5.2.20+
  • Spring Boot 2.6.x 升级到2.6.6+
  • Spring Boot 2.5.x 升级到2.5.12+

(2)Tomcat 升级

  • Tomcat 10 升级至Tomcat 10.0.20
  • Tomcat 9 升级至Tomcat 9.0.62
  • Tomcat 8 升级至Tomcat 8.5.78

(3)JDK降级 ,降级到JDK 8

(4)不允许一些操作,具体看 Disallowed Fields

spring框架漏洞整理
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 1526
近日, Spring官方发布多个安全公告其中包括3个严重,2个高危漏洞漏洞涉及Spring Messaging组件, Spring Security框架,spring框架漏洞整理,攻击者可通过这些漏洞实施远程代码执行攻击、拒绝服务攻击及获取敏感信息等。 Spring Messaging组件中存在漏洞可导致正则表达式拒绝服务攻击(CVE-2018-1257)Spring是一个开放源代码的设计层面框架,他解决的是业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用。
spring框架漏洞整理(Spring WebFlow远程代码执行)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 428
Spring WebFlow远程代码执行 (CVE-2017-4971)Spring WebFlow 远程代码执行 Spring WebFlow 远程代码执行影响范围:Spring WebFlow 2.4.0 - 2.4.4 Spring WebFlow 远程代码执行复现环境:vulhub Spring WebFlow 远程代码执行复现过程:
spring项目中的两个小bug
joey_ro的博客
08-11 142
1.解决Loading class `com.mysql.jdbc.Driver’. This is deprecated. Loading class com.mysql.jdbc.Driver'. This is deprecated. The new driver class iscom.mysql.cj. 这是一个警告信息,显示:com.mysql.jdbc.Driver 已经被弃用,建议你使用新的驱动 com.mysql.cj.jdbc.Driver。 直接配置文件里将驱动名更正为 com.mys
常见框架漏洞(三)----Spring
最新发布
qq_65379983的博客
03-25 752
Sping框架常见漏洞 远程命令执行漏洞 代码执行漏洞
Spring 爆高危漏洞,官方已证实
白面小生的博客
04-01 3068
Springcloud 漏洞没几天,Spring 框架又报漏洞Spring 官方: https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement 漏洞描述: 用户可以通过数据绑定的方式引发远程代码执行 (RCE) 攻击漏洞,触发的前提条件如下: JDK 9+ Apache Tomcat(war 包部署形式) Spring MVC/ Spring WebFlux 应用程序 总结: JDK 9 或更高版本 A
spring-web 5.0.9 release漏洞问题
qq_23727789的博客
12-09 771
检查下pom.xml下这一段,目前spring-web (5.2.3之前的版本5.2.X),5.1,X,5.0.X 都存在文件下载漏洞问题,故此处由原先的2.0.5.Release----->2.2.5.Release ,打包出来的spring-web 版本为5.2.4.Release ,刚好排除出漏洞的版本 ...
Spring Web Flow RCE漏洞复现 (CVE-2017-4971 )
Lucky1youzi的博客
01-02 328
渗透
安全修复之Web——Spring Framework 远程代码执行漏洞
CN華少的博客
05-21 450
安全修复之Web——Spring Framework 远程代码执行漏洞 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:Java...
spring-framework-5.0.5.RELEASE 漏洞修复
04-11
Spring框架中的spring-messaging模块提供了一种基于WebSocket的STOMP协议实现,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,因此攻击者可以通过构造恶意的消息来实现远程代码执行。 Windows平台...
spring 微服务nacos未授权访问漏洞修复
whandgdh的博客
06-17 7677
spring 微服务nacos未授权访问漏洞修复
spring boot框架漏洞复现
nemey的博客
11-26 1239
spring - java开源框架有五种版本1: 直接就在根下 /版本2:根下的必须目录 /actuator/端口:9093spring boot搭建1:直接下载源码打包2:运行编译好的jar包:actuator-testbed-0.1.0.jarjdk版本是1.8。
Spring 新版本修复远程命令执行漏洞(CVE-2022-22965),墨菲安全开源工具可应急排查
热门推荐
murphysec的博客
03-31 1万+
Spring 新版本修复远程命令执行漏洞(CVE-2022-22965),墨菲安全开源工具可应急排查
web项目:漏洞修复(3)_spring过滤器(1)
nxllong的博客
09-30 252
web项目:漏洞修复(3)_spring过滤器第一种方案
Spring Web Flow 远程代码执行漏洞分析
weixin_67271870的博客
11-23 692
漏洞2017年5月31号被提交到平台,官方并没有详细的信息,通过官方描述和补丁的对比,我们可以大致推断应该是Spring WebFlow在Model的数据绑定上面,由于没有明确指定相关model的具体属性导致从表单可以提交恶意的表达式从而被执行,导致任意代码执行的漏洞,这个漏洞利用除了版本的限制之外还有两个前置条件,这两个前置条件中有一个是默认配置,另外一个就是编码规范了,漏洞能不能利用成功主要就取决于后面的条件。
SpringSecurity认证流程分析(1)
2401_84046816的博客
04-17 603
这份清华大牛整理的进大厂必备的redis视频、面试题和技术文档祝大家早日进入大厂,拿到满意的薪资和职级~~~加油!!!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
Spring 漏洞及其修复方案
xiangzhihong8的专栏
04-01 3652
Spring社区发布了一篇名为《Spring Framework RCE, Early Announcement》的文章,官宣了最近网传的Spring漏洞。攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,漏洞利用细节已大范围公开,好在Spring官方已发布补丁修复漏洞漏洞分析 Spring框架(Framework)是一个开源的轻量级J2EE应用程序开发框架,提供了IOC、AOP及MVC等功能,解决了程序人员在开发中遇到的常见问题,提高了应用程序开发便捷度和软件系统构建效率。 2022年3月30
SpringWeb项目越权漏洞以及解决方案
luostudent的博客
04-12 9625
越权漏洞是什么,如何解决?
Spring官宣网传大漏洞,并提供解决方案
程序猿DD
04-01 3115
Spring沦陷了!这样的标题这几天是不是看腻了?然而,仔细看看都是拿着之前的几个毫不相干的CVE来大吹特吹。所以,昨天发了一篇关于最近网传的Spring漏洞的文章,聊了聊这些让人迷惑的营销文、以及提醒大家不要去下载一些利用漏洞提供补丁的钓鱼内容。而对于这个网传的漏洞,依然保持关注状态,因为确实可能存在,只是没有官宣。 就在不久前(3月31日晚),Spring社区发布了一篇名为《Spring Framework RCE, Early Announcement》的文章,官宣了最近网传的Spring漏洞。这也
Spring官宣网传大漏洞,并提供解决方案(1)
2401_83916204的博客
04-17 932
引领完成Docker的安装、部署、管理和扩展,让其经历从测试到生产的整个开发生命周期,深入了解Docker适用于什么场景。并且这本Docker的学习权威指南介绍了其组件的基础知识,然后用Docker构建容器和服务来完成各种任务:利用Docker为新项目建立测试环境,演示如何使用持续集成的工作流集成Docker,如何构建应用程序服务和平台,如何使用Docker的API,如何扩展Docker。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值