1、漏洞概述

2022年03月29日，WebRAY安全服務(wù)產(chǎn)品線監(jiān)測(cè)到Spring 框架存在高危漏洞(CNVD-2022-23942、CVE-2022-22965)，攻擊者可以通過(guò)構(gòu)造惡意請(qǐng)求來(lái)利用這些漏洞，從而造成任意代碼執(zhí)行。

Spring是一個(gè)開(kāi)源框架，它由Rod Johnson創(chuàng)建。它是為了解決企業(yè)應(yīng)用開(kāi)發(fā)的復(fù)雜性而創(chuàng)建的。Spring使用基本的JavaBean來(lái)完成以前只可能由EJB完成的事情。然而，Spring的用途不僅限于服務(wù)器端的開(kāi)發(fā)。從簡(jiǎn)單性、可測(cè)試性和松耦合的角度而言，任何Java應(yīng)用都可以使用Spring。

• 當(dāng)前盛邦安全全線檢測(cè)類產(chǎn)品已支持對(duì)該漏洞進(jìn)行檢測(cè)；

• 盛邦安全全線防護(hù)類產(chǎn)品也已支持對(duì)該漏洞進(jìn)行防護(hù)。

  詳情請(qǐng)聯(lián)系盛邦安全銷售人員

   

2、利用條件

漏洞利用需要滿足以下兩個(gè)條件：

條件一：JDK版本號(hào)在9及以上的；

條件二：使用了版本低于5.3.18和5.2.20的Spring框架或其衍生框架。

3、漏洞等級(jí)

WebRAY安全服務(wù)產(chǎn)品線風(fēng)險(xiǎn)評(píng)級(jí)：高危

4、修復(fù)建議

目前，Spring官方已發(fā)布新版本完成漏洞修復(fù)，請(qǐng)相關(guān)用戶及時(shí)升級(jí)至最新版本：

5、自查小工具

盛邦安全自主研發(fā)的本地自檢工具：
https://github.com/webraybtl/springcore_detect</section></section>