蚂蚁集团上报 Spring 框架「高危」漏洞,现已修复

栏目: IT资讯 · 发布时间: 2年前

内容简介:目前,Spring 官方已发布新版本完成漏洞修复,CNVD 建议受漏洞影响的产品(服务)厂商和信息系统运营者尽快进行自查,并及时升级至最新版本:

4 月 2 日消息,2022 年 3 月 30 日,国家信息安全漏洞共享平台(CNVD)收录了 Spring 框架远程命令执行漏洞(CNVD-2022-23942)。并发布了关于 Spring 框架存在远程命令执行漏洞的安全公告,安全公告编号:CNTA-2022-0009。

蚂蚁集团上报 Spring 框架「高危」漏洞,现已修复

下面是公告内容:

2022 年 3 月 30 日,国家信息安全漏洞共享平台(CNVD)收录了 Spring 框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,漏洞利用细节已大范围公开,Spring 官方已发布补丁修复该漏洞。CNVD 建议受影响的单位和用户立即更新至最新版本。

一、漏洞情况分析

Spring 框架(Framework)是一个开源的轻量级 J2EE 应用程序开发框架,提供了 IOC、AOP 及 MVC 等功能,解决了程序人员在开发中遇到的常见问题,提高了应用程序开发便捷度和软件系统构建效率。

2022 年 3 月 30 日,CNVD 平台接收到蚂蚁科技集团股份有限公司报送的 Spring 框架远程命令执行漏洞。由于 Spring 框架存在处理流程缺陷,攻击者可在远程条件下,实现对目标主机的后门文件写入和配置修改,继而通过后门文件访问获得目标主机权限。使用 Spring 框架或衍生框架构建网站等应用,且同时使用 JDK 版本在 9 及以上版本的,易受此漏洞攻击影响。

CNVD 对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括:

版本低于 5.3.18 和 5.2.20 的 Spring 框架或其衍生框架构建的网站或应用。

三、漏洞处置建议

目前,Spring 官方已发布新版本完成漏洞修复,CNVD 建议受漏洞影响的产品(服务)厂商和信息系统运营者尽快进行自查,并及时升级至最新版本:

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

附:参考链接:

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://github.com/spring-projects/spring-framework/compare/v5.3.17...v5.3.18


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

暗时间

暗时间

刘未鹏 / 电子工业出版社 / 2011-7 / 35.00元

2003年,刘未鹏在杂志上发表了自己的第一篇文章,并开始写博客。最初的博客较短,也较琐碎,并夹杂着一些翻译的文章。后来渐渐开始有了一些自己的心得和看法。总体上在这8年里,作者平均每个月写1篇博客或更少,但从未停止。 刘未鹏说—— 写博客这件事情给我最大的体会就是,一件事情如果你能够坚持做8年,那么不管效率和频率多低,最终总能取得一些很可观的收益。而另一个体会就是,一件事情只要你坚持得足......一起来看看 《暗时间》 这本书的介绍吧!

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具