安全公告編號(hào):CNTA-2022-0009
2022年3月30日��,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了Spring框架遠(yuǎn)程命令執(zhí)行漏洞(CNVD-2022-23942)���。攻擊者利用該漏洞��,可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令����。目前���,漏洞利用細(xì)節(jié)已大范圍公開(kāi)����,Spring官方已發(fā)布補(bǔ)丁修復(fù)該漏洞����。CNVD建議受影響的單位和用戶立即更新至最新版本。
一����、漏洞情況分析
Spring框架(Framework)是一個(gè)開(kāi)源的輕量級(jí)J2EE應(yīng)用程序開(kāi)發(fā)框架,提供了IOC���、AOP及MVC等功能��,解決了程序人員在開(kāi)發(fā)中遇到的常見(jiàn)問(wèn)題�����,提高了應(yīng)用程序開(kāi)發(fā)便捷度和軟件系統(tǒng)構(gòu)建效率�����。
2022年3月30日�����,CNVD平臺(tái)接收到螞蟻科技集團(tuán)股份有限公司報(bào)送的Spring框架遠(yuǎn)程命令執(zhí)行漏洞�。由于Spring框架存在處理流程缺陷,攻擊者可在遠(yuǎn)程條件下��,實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)的后門(mén)文件寫(xiě)入和配置修改�,繼而通過(guò)后門(mén)文件訪問(wèn)獲得目標(biāo)主機(jī)權(quán)限。使用Spring框架或衍生框架構(gòu)建網(wǎng)站等應(yīng)用��,且同時(shí)使用JDK版本在9及以上版本的���,易受此漏洞攻擊影響��。
CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高?�!?���。
二��、漏洞影響范圍
漏洞影響的產(chǎn)品版本包括:
版本低于5.3.18和5.2.20的Spring框架或其衍生框架構(gòu)建的網(wǎng)站或應(yīng)用�����。
三、漏洞處置建議
目前���,Spring官方已發(fā)布新版本完成漏洞修復(fù),CNVD建議受漏洞影響的產(chǎn)品(服務(wù))廠商和信息系統(tǒng)運(yùn)營(yíng)者盡快進(jìn)行自查����,并及時(shí)升級(jí)至最新版本。
文章來(lái)源:國(guó)家信息安全漏洞共享平臺(tái)
