声明
本文章仅用做漏洞复现和技术研究,切勿非法渗透攻击,造成一切后果与本作者无关,切记!
前言
Spring Framework存在远程代码执行漏洞,攻击者可通过该漏洞执行系统命令。
一、漏洞详情
Spring Framework 是一个开源应用框架,初衷是为了降低应用程序开发的复杂度,具有分层体系结构,允许用户选择组件,同时还为J2EE应用程序
开发提供一个好用的框架。
这个漏洞的主要原因是在JDK 9+版本里,Spring MVC 的数据绑定时出现的漏洞,当Spring部署在JDK9及以上版本
,远程攻击者可利用该漏洞写入恶意代码导致远程代码执行
。
二、影响版本
- Spring Framework 5.3.X < 5.3.18
- Spring Framework 5.2.X < 5.2.20
注:其他小版本未更新均受影响
不受影响版本
- Spring Framework == 5.3.18
- Spring Framework == 5.2.20