登录后更精彩...O(∩_∩)O...
您需要 登录 才可以下载或查看,没有账号?立即注册
×
Spring RCE(CVE-2022-22965)漏洞复现POC
漏洞编号CVE-2022-22965
影响范围- Spring Framework < 5.3.18
- Spring Framework < 5.2.20
及其衍生产品,且JDK>=9。
漏洞描述Spring framework 是Spring 里面的一个基础开源框架,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。 漏洞排查: (1)检测是否使用Spring框架,若未使用,则不存在该漏洞。 (2)检查项目是否使⽤Spring参数绑定,若未使用,则不存在该漏洞。 (3)检查中间件使用的JDK版本,若版本号小于9,则不存在该漏洞。
漏洞利用源码下载链接:SpringRCE(CVE-2022-22965)漏洞复现源码下载-网络安全文档类资源-CSDN下载
数据包:
修复方案(1)Spring框架升级到5.2.20 (2)Spring Boot升级到2.6.6 (3)在使用Spring框架的服务器中执行“java –version”查看JDK版本,如果JDK版本在8及以下,则不受此漏洞影响。
from: https://blog.csdn.net/SouthWind0/article/details/124260482
| 
发表于 2022-6-9 17:33:55
