Spring 漏洞及其修复方案

最新推荐文章于 2025-03-02 22:24:09 发布
最新推荐文章于 2025-03-02 22:24:09 发布
阅读量3.6k 收藏
点赞数
分类专栏: Spring Boot 文章标签: 小程序 react native reactjs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiangzhihong8/article/details/123901396
版权
Spring社区宣布了一项RCE漏洞,攻击者可远程执行命令。漏洞影响范围广泛,主要针对JDK9+、Tomcat部署、WAR打包并使用spring-webmvc或spring-webflux的应用。官方已发布5.3.18+、5.2.20+等版本修复。务必检查并更新至最新版本以保障系统安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Spring社区发布了一篇名为《Spring Framework RCE, Early Announcement》的文章,官宣了最近网传的Spring漏洞。攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,漏洞利用细节已大范围公开,好在Spring官方已发布补丁修复该漏洞。

漏洞分析

Spring框架(Framework)是一个开源的轻量级J2EE应用程序开发框架,提供了IOC、AOP及MVC等功能,解决了程序人员在开发中遇到的常见问题,提高了应用程序开发便捷度和软件系统构建效率。

2022年3月30日,CNVD平台接收到蚂蚁科技集团股份有限公司报送的Spring框架远程命令执行漏洞。由于Spring框架存在处理流程缺陷,攻击者可在远程条件下,实现对目标主机的后门文件写入和配置修改,继而通过后门文件访问获得目标主机权限。使用Spring框架或衍生框架构建网站等应用,且同时使用JDK版本在9及以上版本的,易受此漏洞攻击影响。这次确定的Spring核心框架中的RCE漏洞,CVE号为CVE-2022-22965

在这里插入图片描述

影响范围

该漏洞的利用需要满足下面的条件:

  • JDK 9 +
  • 使用Apache Tomcat部署
  • 使用WAR方式打包
  • 依赖spring-webmvc或spring-webflux

虽然,可能国内大部分用户还在用JDK 8、或者采用内置Tomcat的方式运行,但由于该漏洞的特性比较普遍,不排除其他利用方式的存在。所以,DD还是建议在有条件的情况下,尽快升到最新版本来避免可能存在的风险发生。

解决方案

目前,Spring官方已发布新版本完成漏洞修复,CNVD建议受漏洞影响的产品(服务)厂商和信息系统运营者尽快进行自查,并及时升级至最新版本,升级情况如下:

  • Spring 5.3.x用户升级到5.3.18+
  • Spring 5.2.x用户升级到5.2.20+
  • Spring Boot 2.6.x用户升级到2.6.6+
  • Spring Boot 2.5.x用户升级到2.5.12+

参考资料:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://github.com/spring-projects/spring-framework/compare/v5.3.17…v5.3.18

spring框架漏洞整理(Spingboot Thymeleaf模板注入)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 1781
Spingboot Thymeleaf模板注入修复方案 1. 设置ResponseBody注解 如果设置ResponseBody,则不再调用模板解析 2. 设置redirect重定向 @GetMapping("/safe/redirect") public String redirect(@RequestParam String url) { return "redirect:" + url; //CWE-601, as we can control the hostname in redirect
针对Spring框架存在远程命令执行漏洞的升级
weixin_44614149的博客
04-01 1119
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一、查看项目spring版本二、升级方式总结 前言:2022年330日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,漏洞利用细节已大范围公开,Spring官方已发布补丁修复漏洞。CNVD建议受影响的单位和用户立即更新至最新版本。现对项目的修改升级做一下记录,也方便还不知道如何升级的小伙伴一起学习。 一、查看.
spring-framework-5.0.5.RELEASE 漏洞修复
04-11
漏洞详情: spring-messaging模块远程代码执行(CVE-2018-1270) STOMP(Simple Text Orientated Messaging Protocol)全称为简单文本定向消息协议,它允许STOMP客户端与任意STOMP消息代理(Broker)进行交互。Spring框架中的spring-messaging模块提供了一种基于WebSocket的STOMP协议实现,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,因此攻击者可以通过构造恶意的消息来实现远程代码执行。 Windows平台Spring MVC框架目录遍历(CVE-2018-1271) Spring MVC框架支持配置静态资源文件(例如CSS、JS、图片等)访问,当静态文件存储在Windows平台的文件系统时,攻击者可以通过构造一个恶意的URL来实现目录遍历攻击。 Spring框架Multipart内容污染(CVE-2018-1272) 当使用Spring MVC或Spring WebFlux框架的应用收到一个客户端请求,并用它来向另一个服务端发送multipart请求时,攻击者可利用该漏洞往里插入恶意内容。该漏洞的利用有一定的限制,要求攻击者能够猜到multipart字段的boundary值,因此影响较低。
漏洞分析 Spring Framework路径遍历漏洞(CVE-2024-38816)
最新发布
web15185420056的博客
03-02 1065
VMware Spring Framework是美国威睿(VMware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。近期,监测到Spring Framework在特定条件下,存在目录遍历漏洞(网宿评分:高危、CVSS 3.1 评分:7.5):当同时满足使用 RouterFunctions 和 FileSystemResource 来处理和提供静态文件时,攻击者可构造恶意请求遍历读取系统上的文件。
Spring框架漏洞(附修复方法)
C233333235的博客
08-07 1436
Spring是Java EE编程领域的一个轻量级开源框架,该框架由一个叫Rod Johnson的程序员在2002年最早提出并随后创建,是为了解决企业级编程开发中的复杂性,业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用,实现敏捷开发的应用型框架。框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为J2EE应用程序开发提供集成的框架。
spring boot 修复 Spring Framework URL解析不当漏洞(CVE-2024-22243
热门推荐
记录点滴
02-28 1万+
一开始我们尝试直接替换spring-web的版本,但是只替换这一个包的话项目启动会报错,通过实践和反复尝试,我们对spring相关的jar包都进行了覆盖,这样可以保持springboot的版本号不变。如果现有项目的大版本是3.x,直接升级即可,但是有些老项目还停留在2.x的版本,官方并没有针对2.x发布新版本,从2.x直接升级到3.x,代价又比较大。其它已经不受官方支持的版本(5.1.x,5.2.x)同样受到影响,更新到受官方支持的安全版本。查看 springboot的版本,只有最新的。
安全修复Web——Spring Framework 远程代码执行漏洞
CN華少的博客
05-21 444
安全修复Web——Spring Framework 远程代码执行漏洞 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:Java...
web项目:漏洞修复3)_spring过滤器(1)
nxllong的博客
09-30 251
web项目:漏洞修复3)_spring过滤器第一种方案
Java反序列化漏洞及其修复方案的研究分析
资源摘要信息:"Java反序列化漏洞探析及其修复方法研究" Java反序列化漏洞是一类在Java应用程序中常见的安全漏洞,其危害程度高,影响广泛。它允许攻击者通过精心构造的数据输入,使得Java程序在反序列化对象时执行...
上传漏洞及其解决方案
ttyy1112的专栏
02-19 884
上传漏洞是指Web应用程序在处理用户上传文件时,未能对文件的类型、扩展名、路径等进行充分验证和控制,导致攻击者能够上传恶意文件(如脚本木马),进而控制服务器。
CVE-2024-22257: Spring Security AuthenticatedVoter 权限绕过漏洞及其在nacos中的修复
- Spring Security是一个功能强大的且可高度定制的身份验证和访问控制框架,它是针对Spring应用的安全解决方案- 它提供了全面的安全服务,包括支持HTTP请求、方法调用和域对象访问等安全需求。 - 它的一个关键...
Spring Framework 4.3.15安全漏洞公告与官方修复版下载
描述中提到的几个重要的知识点是关于Spring Framework版本4.3.*的安全漏洞及其修复建议。具体包括如下内容: 1. CVE-2018-1270漏洞:这是一个存在于Spring Framework 4.3.*版本及更早版本中的安全漏洞,涉及到了...
Spring官宣网传大漏洞,并提供解决方案
程序猿DD
04-01 3111
Spring沦陷了!这样的标题这几天是不是看腻了?然而,仔细看看都是拿着之前的几个毫不相干的CVE来大吹特吹。所以,昨天发了一篇关于最近网传的Spring漏洞的文章,聊了聊这些让人迷惑的营销文、以及提醒大家不要去下载一些利用漏洞提供补丁的钓鱼内容。而对于这个网传的漏洞,依然保持关注状态,因为确实可能存在,只是没有官宣。 就在不久前(331日晚),Spring社区发布了一篇名为《Spring Framework RCE, Early Announcement》的文章,官宣了最近网传的Spring漏洞。这也
这个Spring高危漏洞,你修补了吗?
美团技术团队
09-28 3307
点击上方蓝字可以订阅哦前言2009年9月Spring 3.0 RC1发布后,Spring就引入了SpEL(Spring Expression Language)。对于开发...
Spring 最新漏洞修复
weixin_42272869的博客
04-18 3132
Spring 最新漏洞修复 描述 Spring 社区 发布了一个最新的漏掉,如下: 漏洞描述:攻击者可以利用该漏洞,在未授权的情况下远程执行命令。 问题处理 1、影响范围 该漏洞的利用需要满足下面的条件: JDK 9 + 使用Apache Tomcat部署(Tomcat 10.0.19、9.0.61、8.5.78 和更早的版本已知易受攻击) 使用WAR方式打包 依赖 spring-webmvc 或 spring-webflux 即该漏洞影响在 JDK 9+ 上运行的 Spring MVC 和 Spri
spring相关漏洞复现
Shanfenglan's blog
12-30 1458
文章目录1. H2 Database web端未授权访问导致的rce2. Spring Security OAuth2 rce -- CVE-2016-49773. Spring Data Rest 远程命令执行漏洞(CVE-2017-8046)4. Spring Data Commons 远程命令执行漏洞(CVE-2018-1273) 1. H2 Database web端未授权访问导致的rce 2. Spring Security OAuth2 rce – CVE-2016-4977 Spring Se
SpringWeb项目越权漏洞以及解决方案
luostudent的博客
04-12 9546
越权漏洞是什么,如何解决?
Spring官宣网传大漏洞,并提供解决方案(1)
2401_83916204的博客
04-17 925
引领完成Docker的安装、部署、管理和扩展,让其经历从测试到生产的整个开发生命周期,深入了解Docker适用于什么场景。并且这本Docker的学习权威指南介绍了其组件的基础知识,然后用Docker构建容器和服务来完成各种任务:利用Docker为新项目建立测试环境,演示如何使用持续集成的工作流集成Docker,如何构建应用程序服务和平台,如何使用Docker的API,如何扩展Docker。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiangzhihong8

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值