Spring 遠端執行程式碼漏洞
最後更新
2022年04月11日
發佈日期:
2022年04月01日
1978
觀看次數
風險: 高度風險
類型: 保安軟件及應用設備 - 保安軟件及應用設備
在 Spring 發現一個漏洞。遠端攻擊者可利用此漏洞,於目標系統觸發遠端執行任意程式碼。
已有概念驗證碼針對應用程式運行於
- JDK 9 或更高版本
- Apache Tomcat 作為 Servlet 容器
- 包裝為傳統的 WAR
- 依賴 spring-webmvc 或 spring-webflux
[更新於 2022-04-11]
更新 受影響之系統或技術,解決方案,資料來源及相關連結。
影響
- 遠端執行程式碼
受影響之系統或技術
- Spring Boot 2.6.6 之前的版本
- Spring Boot 2.5.12 之前的版本
- Spring Framework 5.3.18 之前的版本
- Spring Framework 5.2.20 之前的版本
[更新於 2022-04-11]
對於Cisco產品
詳情請參閱以下連結:
For Apache Tomcat
詳情請參閱以下連結:
解決方案
在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。
安裝供應商提供的修補程式:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
[更新於 2022-04-11]
對於Cisco產品
詳情請參閱以下連結:
緩解方案
For Apache Tomcat
詳情請參閱以下連結:
注意: 強化物件加載器,為 Spring Framework 漏洞 CVE-2022-22965 提供緩解措施。
漏洞識別碼
資料來源
相關連結
分享至