3 月 30 日,国家信息安全漏洞共享平台(CNVD)接收到蚂蚁科技集团股份有限公司报送的 Spring 框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。CNVD 对该漏洞的综合评级为“高危”。
漏洞利用条件:
- jdk9+
- Spring 及其衍生框架
- 使用tomcat部署spring项目
- 使用了POJO参数绑定
- Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本
漏洞复现:
使用docker搭建SpringCore RCE测试环境
docker pull vulfocus/spring-core-rce-2022-03-29 //下载靶场
docker run -dit -p 8090:8080 vulfocus/spring-core-rce-2022-03-29 //运行靶场
访问8090端口,搭建成功
完整测试payload: