漏洞描述
近日,Spring 框架曝出 RCE 0day 漏洞,由于 Spring 框架应用广泛,所以此漏洞危害极大。攻击者成功利用该漏洞可实现任意代码执行。目前,YXLink WAF产品已经发布了更新规则库,助力广大用户在网络层面第一时间拦截该攻击行为。
预警描述
Spring
框架是目前全球最受欢迎的 Java 轻量级开源框架,允许开发人员专注于业务逻辑,简化 Java 企业级应用的开发周期。
Spring
框架曝出 RCE 0day 漏洞,在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取 AccessLogValve 对象并诸如恶意字段值,从而触发 pipeline 机制并写入任意路径下的文件。
1
、使用 JDK9 及以上版本的 Spring MVC 框架
2、
Spring 框架以及衍生的框架 spring-beans-*.jar 文件或者存在 CachedIntrospectionResults.class
WAF
防护:升级YXLink WAF 的规则库升级至:
12.11.26.87
下载链接:https://www.yxlink.com/index_productservice_index.html
执行 “java-version” 命令可查看 JDK 版本
南京铱迅信息技术股份有限公司(股票代码:832623。简称:铱迅信息,英文缩写:YXLink)是中国的一家专业从事网络安全与服务的高科技公司。总部位于江苏省南京市中国软件谷,在全国超过十多个省市具有分支机构。凭借着高度的民族责任感和使命感,自主研发,努力创新,以“让客户更安全”为理念,致力为互联网安全做出一份贡献。
