vlambda博客
学习文章列表

铱迅助力用户发现“Spring MVC”远程代码执行漏洞

漏洞描述

近日,Spring 框架曝出 RCE0day 漏洞,攻击者可利用该漏洞实现任意代码执行。由于 Spring 框架应用广泛,所以此漏洞危害极大。目前,铱迅漏洞扫描系统(YXLink NVS)已经发布了更新规则库,助力广大用户在第一时间发现该风险。           

预警描述

Spring 框架是目前全球最受欢迎的 Java 轻量级开源框架,允许开发人员专注于业务逻辑,简化 Java 企业级应用的开发周期。
Spring 框架曝出 RCE 0day 漏洞,在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取 AccessLogValve 对象,如:恶意字段值,从而触发 pipeline 机制并写入任意路径下的文件。
目前已知,触发该漏洞需要满足两个基本条件:
1 、使用 JDK9 及以上版本的 Spring MVC 框架
2 、Spring 框架以及衍生的框架 spring-beans-*.jar 文件或者存在 CachedIntrospectionResults.class


漏洞危害

攻击者成功利用该漏洞可实现任意代码执行。


建议

将铱迅漏洞扫描系统(YXLink NVS)的规则库升级至:1.0.0.5384

下载链接:

https://www.yxlink.com/index_productservice_index_cateId_32.html


受影响范围

JDK9 及以上版本

执行 “java-version” 命令可查看 JDK 版本

  

铱迅简介

安全有“铱”靠,网络更“迅”捷


南京铱迅信息技术股份有限公司(股票代码:832623。简称:铱迅信息,英文缩写:YXLink)是中国的一家专业从事网络安全与服务的高科技公司。总部位于江苏省南京市中国软件谷,在全国超过十多个省市具有分支机构。凭借着高度的民族责任感和使命感,自主研发,努力创新,以“让客户更安全”为理念,致力为互联网安全做出一份贡献。