铱迅助力用户发现“Spring MVC”远程代码执行漏洞

vlambda
2022-04-10

铱迅助力用户发现“Spring MVC”远程代码执行漏洞

漏洞描述

近日，Spring 框架曝出 RCE0day 漏洞，攻击者可利用该漏洞实现任意代码执行。由于 Spring 框架应用广泛，所以此漏洞危害极大。目前，铱迅漏洞扫描系统（YXLink NVS）已经发布了更新规则库，助力广大用户在第一时间发现该风险。

预警描述

Spring 框架是目前全球最受欢迎的 Java 轻量级开源框架，允许开发人员专注于业务逻辑，简化 Java 企业级应用的开发周期。

Spring 框架曝出 RCE 0day 漏洞，在Spring框架的JDK9版本（及以上版本）中，远程攻击者可在满足特定条件的基础上，通过框架的参数绑定功能获取 AccessLogValve 对象，如：恶意字段值，从而触发 pipeline 机制并写入任意路径下的文件。

目前已知，触发该漏洞需要满足两个基本条件：

1 、使用 JDK9 及以上版本的 Spring MVC 框架

2 、Spring 框架以及衍生的框架 spring-beans-*.jar 文件或者存在 CachedIntrospectionResults.class

漏洞危害

攻击者成功利用该漏洞可实现任意代码执行。

建议

将铱迅漏洞扫描系统（YXLink NVS）的规则库升级至：1.0.0.5384

下载链接：

https://www.yxlink.com/index_productservice_index_cateId_32.html

受影响范围

JDK9 及以上版本

执行 “java-version” 命令可查看 JDK 版本

铱迅简介

安全有“铱”靠，网络更“迅”捷

南京铱迅信息技术股份有限公司（股票代码：832623。简称：铱迅信息，英文缩写：YXLink）是中国的一家专业从事网络安全与服务的高科技公司。总部位于江苏省南京市中国软件谷，在全国超过十多个省市具有分支机构。凭借着高度的民族责任感和使命感，自主研发，努力创新，以“让客户更安全”为理念，致力为互联网安全做出一份贡献。

vlambda博客
学习文章列表