代码编织梦想

2022年3月30日,国家信息安全漏洞共享平台(CNVD)发布了Spring框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。

目前,此漏洞POC、技术细节及EXP已大范围公开,此漏洞影响范围极大。目前Spring官方已发布补丁修复该漏洞,强烈建议Spring框架用户立即更新至最新版本。

一、漏洞详情

Spring Framework是一个开源应用框架,提供了IOC、AOP及MVC等功能。旨在降低应用程序开发的复杂度。它是轻量级、松散耦合的。它具有分层体系结构,允许用户选择组件,同时还为 J2EE 应用程序开发提供了一个有凝聚力的框架。

由于Spring框架存在处理流程缺陷,攻击者可在远程条件下,实现对目标主机的后门文件写入和配置修改,继而通过后门文件访问获得目标主机权限。

大部分开发者使用Spring框架或衍生框架构建的网站或应用,且同时使用JDK版本大于等于9,易受此漏洞攻击影响,然而,该漏洞的利用性更为普遍,而且可能有其他尚未报告的方法来利用它。

二、漏洞等级

高危

建议紧急修复!

三、影响范围

  • Spring Framework < 5.3.18

  • Spring Framework < 5.2.20

  • Spring Framework 的衍生框架构建的网站或应用

四、修复建议

目前,Spring官方已发布新版本完成漏洞修复,安全团队建议应用owner尽快进行自查,并及时升级至最新版本:

  • Spring Framework = 5.3.18

  • Spring Framework = 5.2.20

升级方式:

1.通过Maven更新Spring版本:

 <properties>
    <spring-framework.version>5.3.18</spring-framework.version>
  </properties> 

2.通过Gradle更新Spring版本:

 ext['spring-framework.version']= '5.3.18' 
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WLANQY/article/details/128552008

spring官网下载springframework_山木嘉的博客-爱代码爱编程

说明 太惨了,我发现我的SpringFramework是5.1.1的,然后我的JDK是1.7的,好像是JDK版本太低所以不能使用,所以我决定下载一个新的SpringFramework。刚好记录一下。我的错误是 下载

Spring与Spring Framework的入门介绍以及学习文章整理-爱代码爱编程

Spring的介绍。本系列文章将会基于最新Spring 5.x,讲解Spring的使用方法和核心原理! 文章目录 1 Spring的概述2 Spring Framework的概述3 相关文章 1 Spring的概述 Spring 框架来自2003年,到目前为止目前,Spring 框架可以说已经发展成为了一个生态体系或者技术体系,它

org.springframework.beans.factory.UnsatisfiedDependencyException报错解决-爱代码爱编程

org.springframework.beans.factory.UnsatisfiedDependencyException:报错解决 可以理解为依赖失败吧,找不到依赖 部分报错如下: org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating

Spring framework(一)概述-爱代码爱编程

一、Spring framework 即Spring,是其他Spring全家桶的基础和核心:包括SpringMVC、SpringBoot、SpringCloud、SpringData、SpringSecurity。 Spring由Rod Johnson创立,2004年发布了Spring框架的第一版,其目的是用户简化企业级开发的难度和周期。 1.1、核心

spring security异常记录:org.springframework.security.access.AccessDeniedException: Access is denied-爱代码爱编程

最近在做ssm项目的时候用到spring security时遇到了异常,如下所示: 15:06:28,144 DEBUG FilterSecurityInterceptor:348 - Previously Authenticated: org.springframework.security.authentication.AnonymousA

SpringSecurity报错Error creating bean with name ‘org.springframework.security.filterChains‘....-爱代码爱编程

错误详情: org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'org.springframework.security.filterChains': Cannot resolve reference to bean 'org.sp

Spring Framework与JDK版本对应关系-爱代码爱编程

  最近在实践Spring项目时,发现无法通过注解的方式实现Bean容器管理,控制器报错信息为:Failed to read candidate component class,也就是注解扫描不了,在反复检查代码不存在问题后意识到可能是版本兼容问题,根据Spring官网的Spring Framework与JDK版本对应关系解决了该问题。   Spring

org.springframework.context.ApplicationContextException Failed to start bean ‘org.springframework.a-爱代码爱编程

笔者在试用RabbitMQ测试TTL时报的这么个错 org.springframework.context.ApplicationContextException: Failed to start bean 'org.springframework.amqp.rabbit.config.internalRabbitListenerEndpointRegi

org.springframework.beans.factory.unsatisfieddependencyexception-爱代码爱编程

org.springframework.beans.factory.UnsatisfiedDependencyException:  org.springframework.beans.factory.UnsatisfiedDependencyException: org.springframework.beans.factory.Unsatisfie

java-爱代码爱编程

一、异常日志   2022-04-15 14:50:11,021 WARN [main] [middle-order,,,] [AbstractApplicationContext.doClose] [AbstractApplicationContext.java:1015] - Exception thrown from ApplicationLis

[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-爱代码爱编程

🍬 博主介绍 👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 🎉点赞➕评论➕收藏 == 养成习惯(一键三连