最新漏洞预警CVE22965漏洞预警分析报告
壹-漏洞介绍
Spring 是一个支持快速开发 Java EE 应用程序的框架。它提供了一系列底层容器和基础设施,并可以和大量常用的开源框架无缝集成,可以说是开发 Java EE 应用程序的必备。该漏洞是由于 Spring Framework 未对传输的数据进行有效的验证,攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行远程代码执行攻击,最终获取服务器权限。
贰-攻击场景
攻击场景如下:* JDK9及其以上版本;* 使 了Spring-beans包;* 使 了Spring参数绑定;* Spring参数绑定使 的是 基本参数类型,例如 般的POJO即可。
叁-漏洞分析
该漏洞基本使 式就是利 . 的形式给参数进 赋值,实际赋值过程会使 反射调 参数的 getter or setter 。它需要绑定的参数的数据结构是 个简单的POJO,具体如下:
Controller写法如下:
参数绑定的整个流程如下:
流程 会有 个 class 属性缓存:
简单的就可以获取到 class 对象,那剩下的就是利 这个 class 对象构造利 链了。 前 较简单的 式就是修改Tomcat的 志配置,向 志中写 shell。 条完整的利 链如下:
具体的攻击步骤如下,先后发送5个请求:
发送完毕这5个请求后,Tomcat的 志配置被修改成如下:
接着,我们只需要随便发送 个请求,加 个header,即可写 shell:
可以正常访问shell:
肆-漏洞复现
Spring可以和大量常用的开源框架无缝集成,可以说是开发 Java EE 应用程序的必备。该漏洞是由于 Spring Framework 未对传输的数据进行有效的验证,攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行远程代码执行攻击,最终获取服务器权限。
VULFOCUS靶场找到"Spring Framework 远程命令执行漏洞",启动创建一个靶场:
使用公开EXP,获取shell地址:
浏览器访问shell地址,发现whoami命令已经被执行:
尝试将whoami修改为创建/删除文件夹。
创建文件夹test:
删除文件夹test:
伍-修复建议
一、官方修复建议:
当前Spring Framework 官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://github.com/spring-projects/spring-framework/tags
注:SpringFramework 5.3.18和Spring Framework 5.2.20是 Spring 官方提供的两个安全版本。(截止至3月31日)
二、临时修复建议:
该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案,需同时按以下两个步骤进行漏洞的临时修复:
步骤1.在应用中全局搜索@InitBinder注解,看看方法体内是否调用dataBinder.setDisallowedFields方法,如果发现此代码片段的引入,则在原来的黑名单中,添加{"class.*","Class.*","*. class.*", "*.Class.*"}。(注:如果此代码片段使用较多,需要每个地方都追加。)
步骤2. 在应用系统的项目包下新建以下全局类,并保证这个类被 Spring 加载到(推荐在Controller所在的包中添加)。完成类添加后,需对项目进行重新编译打包和功能验证测试,并重新发布项目。
同是5G轻旗舰,荣耀X10比iQOOZ1差多少?性能与拍照旗舰的对决随着高端5G手机市场产品趋近饱和,各大手机厂商开始把5G手机竞争的主战场转移到2000元出头的价位段上。最近发布的iQOOZ1和荣耀X10便是这一价位5G手机中的佼佼者,下面我们就
机皇之争小米11Pro与一加9Pro的你更看好谁?昨天晚上,小米春季新品发布会上发布的小米11Pro手机,自称为安卓机皇,以性能拍照等综合表现,向安卓手机最高标准冲击。一如小米11发布时,将自己定义为旗舰机守门员位置一样。而早先发
格瑞智造,用芯呵护今天想为大家讲讲格瑞的那些故事从前端研发到生产再到用户手中一起来感受一下格瑞的步步严格管控层层严格把关自主创新在格瑞,每一款产品都是经过数十位研发设计人员夜以继日提出方案与修改优化
今晚,我住同事家今天是2021年3月6日我和我妈吵架的第119563次没错,刚刚又和我妈吵架了,起因是我晚上想住同事家,但是她不同意,然后有了以下对话U1S1,我妈至今都觉得我们住的也是科技住宅,
资讯丨钟楼区五星街道党工委副书记王斐一行莅临格瑞考察指导2021年9月8日下午,钟楼区五星街道党工委副书记办事处副主任(主持工作)王斐等一行莅临我司调研参观指导,格瑞创始人董事长刘拴强销售总监徐鹏刘凯敬等对一行人的到来表示热烈的欢迎,同
从工厂到终端,格瑞如何定义千店万人?在市场不确定性日益增加的当下,传统经销商面对未来,会有更大的不确定性。因为,作为上游厂家,下游客户,自己夹在中间,几乎很少有自己说了算的。困局之下,如何稳住脚步开拓创新已成为各大暖
领跑健康人居五恒新赛道,亮剑家用市场千店万人共创富10月31日,格瑞十周年庆典暨健康人居创新发展高峰论坛千店万人创富峰会在江苏常州盛大召开,会议以领跑五恒新赛道,千店万人共创富为主题,深入研判行业发展趋势,复盘总结格瑞从2011到
柏楚电子激光器运动控制系统龙头,国产化高端化是主趋势选股理由科创板营收利润稳定增长证券代码688188评级AA本文分为六部分一主营业务二公司治理三财务分析四核心竞争力及投资逻辑五盈利预测及估值六投资观点数据截止日期2020年3月31
歌力思打造轻奢女装品牌集团,以梦为马不负韶华选股理由业务逆势扩张成交量放大估值水平较低证券简称歌力思评级A数据截止日期2019年9月30日单位亿元证券代码603808成立日期1999年所在地深圳一主营业务主营业务品牌女装的设
九牧王迷你版雅戈尔,主营不够投资来凑选股理由营收利润小幅增长股价处于低位较低估值水平证券简称九牧王评级BB数据截止日期2019年9月30日单位亿元证券代码601566成立日期2004年所在地福建泉州一主营业务主营业务
博思软件财政信息化龙头,业绩大增值得期待选股理由营收利润双增长成交量持续放大软件信息化证券简称博思软件评级A数据截止日期2019年9月30日单位亿元证券代码300525成立日期2001年所在地福建福州一主营业务主营业务软