Spring Core 远程代码执行漏洞

概述

Spring Core 组件存在严重的远程代码执行漏洞，编号为CVE-2022-22965。

漏洞详情

• 漏洞发现时间：2022年3月30日24。
• 官方修复时间：2022年3月31日367。
• 漏洞评级：严重79。
• 影响范围：Spring Framework 5.3.18、5.2.20.RELEASE 之前的版本7。
• 漏洞原理：由于Spring Core 未对传输的数据进行有效验证，攻击者可构造恶意数据进行远程代码执行攻击15。
• 漏洞利用条件：在 JDK 9+ 环境下，攻击者可利用该漏洞在目标系统上执行任意代码36。
• 漏洞影响：可导致服务器权限被获取，远程写入、执行任意代码等危害189。
• 漏洞修复：Spring 官方已发布安全更新，建议用户尽快升级至安全版本67。

防范建议

• 尽快升级至 Spring Framework 5.3.18 或 5.2.20.RELEASE 以上版本以修复该漏洞7。
• 监控并及时响应安全公告，采取必要的安全措施以防范潜在攻击810。