漏洞描述
近日,亚信安全CERT监控到SpringFramework存在远程代码执行漏洞(CVE--),在JDK9及以上版本前提下,结合Tomcat进行Spring项目部署的实际环境中,远程攻击者可利用该漏洞生成恶意文件导致远程代码执行。
目前已经发布修复版本:SpringFramework5.3.18和5.2.20,鉴于该漏洞受影响面广大,漏洞细节以及对应POC、EXP已公开,亚信安全CERT建议使用SpringFramework的用户尽快采取相关措施。
Spring是目前世界上最受欢迎的JavaEE轻量级开源框架,是Java世界最为成功的框架之一。专注于简化Java企业级应用的开发难度、缩短开发周期。
漏洞编号
CVE--
漏洞等级
高危
漏洞状态
漏洞细节:已公开
漏洞PoC:已发现
漏洞EXP:已发现
在野利用:已发现
受影响的版本
满足下列4个组合条件:
JDK=9
使用Tomcat部署了Spring项目或Spring衍生项目
使用
RequestMapping注释和使用POJO(PlainOldJavaObject)参数的组件SpringFramework版本小于5.3.18(5.3x系列)或5.2.20(5.2x系列)
亚信安全产品防护
亚信安全信桅深度威胁发现设备,信舷防毒墙,信舱云主机安全已经支持对该漏洞的检测,请用户及时更新规则,以形成安全产品检测和防护能力。
漏洞复现
亚信安全CERT安全专家已第一时间构造PoC,并复现成功。
修复建议
※目前,Spring官方已发布漏洞修复版本,请用户及时更新至最新版本。
SpringFramework5.3.x版本下载