安全公告編號:CNTA-2022-0009
2022年3月30日,國家信息安全漏洞共享平臺(CNVD)收錄了Spring框架遠程命令執行漏洞(CNVD-2022-23942)。攻擊者利用該漏洞,可在未授權的情況下遠程執行命令。目前,漏洞利用細節已大范圍公開,Spring官方已發布補丁修復該漏洞。CNVD建議受影響的單位和用戶立即更新至最新版本。
一、漏洞情況分析
Spring框架(Framework)是一個開源的輕量級J2EE應用程序開發框架,提供了IOC、AOP及MVC等功能,解決了程序人員在開發中遇到的常見問題,提高了應用程序開發便捷度和軟件系統構建效率。
2022年3月30日,CNVD平臺接收到螞蟻科技集團股份有限公司報送的Spring框架遠程命令執行漏洞。由于Spring框架存在處理流程缺陷,攻擊者可在遠程條件下,實現對目標主機的后門文件寫入和配置修改,繼而通過后門文件訪問獲得目標主機權限。使用Spring框架或衍生框架構建網站等應用,且同時使用JDK版本在9及以上版本的,易受此漏洞攻擊影響。
CNVD對該漏洞的綜合評級為“高危”。
二、漏洞影響范圍
漏洞影響的產品版本包括:
版本低于5.3.18和5.2.20的Spring框架或其衍生框架構建的網站或應用。
三、漏洞處置建議
目前,Spring官方已發布新版本完成漏洞修復,CNVD建議受漏洞影響的產品(服務)廠商和信息系統運營者盡快進行自查,并及時升級至最新版本:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
附:參考鏈接:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://github.com/spring-projects/spring-framework/compare/v5.3.17...v5.3.18
津公網備案:12019202000211
