跳至主內容

Spring 遠端執行程式碼漏洞

最後更新 2022年04月11日 發佈日期: 2022年04月01日 1829 觀看次數

風險: 高度風險

類型: 保安軟件及應用設備 - 保安軟件及應用設備

類型: 保安軟件及應用設備

在 Spring 發現一個漏洞。遠端攻擊者可利用此漏洞,於目標系統觸發遠端執行任意程式碼。

 

已有概念驗證碼針對應用程式運行於

  • JDK 9 或更高版本
  • Apache Tomcat 作為 Servlet 容器
  • 包裝為傳統的 WAR
  • 依賴 spring-webmvc 或 spring-webflux

 

[更新於 2022-04-11]

更新 受影響之系統或技術,解決方案,資料來源及相關連結。


影響

  • 遠端執行程式碼

受影響之系統或技術

  • Spring Boot 2.6.6 之前的版本
  • Spring Boot 2.5.12 之前的版本
  • Spring Framework 5.3.18 之前的版本
  • Spring Framework 5.2.20 之前的版本

 

[更新於 2022-04-11]

 

對於Cisco產品

詳情請參閱以下連結:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-java-spring-rce-Zx9GUc67

 

For Apache Tomcat 

詳情請參閱以下連結:

https://tomcat.apache.org/

 

 


解決方案

在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

 

安裝供應商提供的修補程式:

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

 

[更新於 2022-04-11]

 

對於Cisco產品

詳情請參閱以下連結:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-java-spring-rce-Zx9GUc67

 

緩解方案

For Apache Tomcat 

詳情請參閱以下連結:

https://tomcat.apache.org/

注意: 強化物件加載器,為 Spring Framework 漏洞 CVE-2022-22965 提供緩解措施。

 


漏洞識別碼


資料來源


相關連結