本文介绍Spring框架存在远程命令执行漏洞攻击风险以及如何解决。

漏洞描述

根据国家信息安全漏洞共享平台(CNVD)发布的安全公告 CNVD-2022-23942显示,攻击者可利用CNVD-2022-23942远程命令执行漏洞,在远程条件下,实现对目标主机的后门文件写入和配置修改,然后通过后门文件访问获得目标主机权限。

漏洞评级

高危

影响范围

  • 版本低于5.3.18和5.2.20的Spring框架或其衍生框架构建的网站或应用。

  • 运行环境为JDK 9或者更高的版本。
  • Web容器使用的是Apache Tomcat。
  • 使用War包进行部署。
  • 引入了spring-webmvcspring-webflux依赖。

安全建议

请升级至Spring官方发布的最新版本完成漏洞修复,请参见Spring版本