突发,Spring框架发现重大漏洞!

互联网架构师

共 1059字,需浏览 3分钟

 ·

2022-04-16 15:03


上一篇:字节跳动面试经验总结,已顺利拿到offer!


近日,spring 框架发布重大漏洞信息。

该漏洞编号为:CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+
漏洞级别:Critical

详细描述为:

在JDK 9+上运行的Spring MVC或Spring WebFlux应用程序可能容易通过数据绑定进行远程代码执行(RCE)。该漏洞要求应用程序作为WAR部署在Tomcat上运行。如果应用程序部署为Spring Boot可执行jar,即默认jar,则不受漏洞的攻击。然而,脆弱性的性质更为普遍,可能还有其他方法可以利用它。

这些是漏洞执行的先决条件:

1.JDK 9或更高

2.Apache Tomcat作为Servlet容器

3.打包为WAR

4.依赖Spring-webmvc或spring-webflux

受影响的Spring Framework版本:

  1. Spring Framework5.3.0 到 5.3.17

  2. Spring Framework5.2.0 到 5.2.19

  3. 较旧的、不受支持的版本也受到影响

官方声明地址https://tanzu.vmware.com/security/cve-2022-22965

解决方案

因为这次不是网传,而是Spring官宣,所以解决方案已经相对完善和容易了,受影响的用户可以通过下面的方法解决该漏洞的风险:

Spring 5.3.x用户升级到5.3.18+
Spring 5.2.x用户升级到5.2.20+
Spring Boot 2.6.x用户升级到2.6.6+
Spring Boot 2.5.x用户升级到2.5.12+


感谢您的阅读,也欢迎您发表关于这篇文章的任何建议,关注我,技术不迷茫!小编到你上高速。
    · END ·
最后,关注公众号互联网架构师,在后台回复:2T,可以获取我整理的 Java 系列面试题和答案,非常齐全


正文结束


推荐阅读 ↓↓↓

1.心态崩了!税前2万4,到手1万4,年终奖扣税方式1月1日起施行~

2.深圳一普通中学老师工资单曝光,秒杀程序员,网友:敢问是哪个学校毕业的?

3.从零开始搭建创业公司后台技术栈

4.程序员一般可以从什么平台接私活?

5.清华大学:2021 元宇宙研究报告!

6.为什么国内 996 干不过国外的 955呢?

7.这封“领导痛批95后下属”的邮件,句句扎心!

8.15张图看懂瞎忙和高效的区别!

浏览 10
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报