蚂蚁集团上报 Spring 框架「高危」漏洞，现已修复

内容简介：目前，Spring 官方已发布新版本完成漏洞修复，CNVD 建议受漏洞影响的产品（服务）厂商和信息系统运营者尽快进行自查，并及时升级至最新版本：

4 月 2 日消息，2022 年 3 月 30 日，国家信息安全漏洞共享平台（CNVD）收录了 Spring 框架远程命令执行漏洞（CNVD-2022-23942）。并发布了关于 Spring 框架存在远程命令执行漏洞的安全公告，安全公告编号：CNTA-2022-0009。

下面是公告内容：

2022 年 3 月 30 日，国家信息安全漏洞共享平台（CNVD）收录了 Spring 框架远程命令执行漏洞（CNVD-2022-23942）。攻击者利用该漏洞，可在未授权的情况下远程执行命令。目前，漏洞利用细节已大范围公开，Spring 官方已发布补丁修复该漏洞。CNVD 建议受影响的单位和用户立即更新至最新版本。

一、漏洞情况分析

Spring 框架（Framework）是一个开源的轻量级 J2EE 应用程序开发框架，提供了 IOC、AOP 及 MVC 等功能，解决了程序人员在开发中遇到的常见问题，提高了应用程序开发便捷度和软件系统构建效率。

2022 年 3 月 30 日，CNVD 平台接收到蚂蚁科技集团股份有限公司报送的 Spring 框架远程命令执行漏洞。由于 Spring 框架存在处理流程缺陷，攻击者可在远程条件下，实现对目标主机的后门文件写入和配置修改，继而通过后门文件访问获得目标主机权限。使用 Spring 框架或衍生框架构建网站等应用，且同时使用 JDK 版本在 9 及以上版本的，易受此漏洞攻击影响。

CNVD 对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括：

版本低于 5.3.18 和 5.2.20 的 Spring 框架或其衍生框架构建的网站或应用。

三、漏洞处置建议

目前，Spring 官方已发布新版本完成漏洞修复，CNVD 建议受漏洞影响的产品（服务）厂商和信息系统运营者尽快进行自查，并及时升级至最新版本：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

附：参考链接：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://github.com/spring-projects/spring-framework/compare/v5.3.17...v5.3.18

以上就是本文的全部内容，希望本文的内容对大家的学习或者工作能带来一定的帮助，也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

• 蚂蚁金服分布式链路跟踪组件 SOFATracer 数据上报机制和源码分析 | 剖析
• 前端错误监控与上报
• Flutter异常监测与上报
• 自定义错误上报的奇怪问题
• 前端错误监控以及上报方法总结
• 强制DataNode向NameNode上报blocks

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。