近日,Spring官方发布安全公告,披露了一个Spring框架可在JDK>=9版本下实现远程代码执行的漏洞。此漏洞影响范围极广,建议客户尽快做好自查工作。
参考链接:https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
影响范围
若满足如下两个条件则确定受到漏洞影响:
(1)使用JDK>=9
(2)Spring开发或衍生框架开发(存在spring-bean*.jar)
spring-framework<v5.3.18
spring-framework<v5.2.20.RELEASE
漏洞描述
作为目前全球最受欢迎的Java轻量级开源框架,Spring允许开发人员专注于业务逻辑,简化Java企业级应用的开发周期。
但在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件。
缓解措施
目前Spring官方已发布安全版本修复该漏洞,安全版本如下:
spring-framework v5.3.18
spring-framework v5.2.20.RELEASE
参考链接:https://github.com/spring-projects/spring-framework/releases
