Spring Framework 远程命令执行漏洞（CVE-2022-22965）

Spring Framework 远程命令执行漏洞

（CVE-2022-22965）

　近日，Spring 官方 GitHub issue中提到了关于 Spring Core 的远程命令执行漏洞，该漏洞广泛存在于Spring 框架以及衍生的框架中。

漏洞形成原因：

　　Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包，是一个包含Spring框架基本的核心工具包，Spring其他组件都要使用到这个包。

　　未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。 该漏洞广泛存在于Spring 框架以及衍生的框架中，JDK 9.0及以上版本会受到影响。使用旧JDK版本的产品不受影响。建议存在该漏洞的企业在防火墙处阻止带有特殊字符串的请求，以免受到该漏洞的攻击。

影响版本限制：

使用Apache Tomcat作为Servlet容器

使用传统WAR部署

基于spring-webmvc或spring-webflux

Spring框架版本为5.3.0至5.3.17,5.2.0至5.2.19，或更早版本

JDK 9.0及以上版本会受到影响

FOFA搜索:

app="APACHE-Tomcat" || app="vmware-SpringBoot-framework" || app="vmware-SpringBoot-framework" || app="vmware-Spring-Batch" || app="vmware-Spring-framework" || app="vmware-Spring-Security"

漏洞复现：

首先搭建好复现靶场

通过exploit工具直接命令执行

 

 

 

工具来源于Github 

 

漏洞修复：

升级Spring Framework 版本

Spring Framework == 5.3.18 
Spring Framework == 5.2.20

临时防御方案：

1、 WAF防御。

可以在WAF中添加以下规则对特殊输入的字符串进行过滤：

Class.*
class.*
*.class.*
*Class.*

2、通过黑名单策略进行防护。

您可在受影响产品代码中搜索@InitBinder注解，判断方法体内是否有dataBinder.serDisallowerFields方法，若发现存在该方法，则在黑名单中添加如下过滤规则：

Class.*
class.*
*.class.*
*Class.*