Spring框架(Framework)存在远程命令执行漏洞

  • Post author:
  • Post category:其他


Spring框架(Framework)存在远程命令执行漏洞



漏洞影响范围

漏洞影响的产品版本包括:

版本低于5.3.18和5.2.20的Spring框架或其衍生框架构建的网站或应用。



漏洞分析

该漏洞影响在 JDK 9+ 上运行的 Spring MVC 和 Spring WebFlux 应用程序。具体的利用需要将应用程序打包并部署为 Servlet 容器上的传统 WAR。如果应用程序被部署为 Spring Boot 可执行 jar,即默认值,则它不易受到漏洞利用。但是,该漏洞的性质更为普遍,可能还有其他方法可以利用它。



解决方案



升级 Tomcat

对于较旧的应用程序,在具有不受支持的 Spring Framework 版本的 Tomcat 上运行,升级到 Apache Tomcat 10.0.20、9.0.62或8.5.78,可以提供足够的保护。但是,这应该被视为一种战术解决方案,主要目标应该是尽快升级到当前支持的 Spring Framework 版本。如果您采用这种方法,您应该考虑设置Disallowed Fields以及纵深防御方法。



降级到 Java 8

如果您既不能升级 Spring Framework 也不能升级 Apache Tomcat,那么降级到 Java 8 是一种可行的解决方法。



版权声明:本文为qq_20025777原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。