Bug警报 - Spring Core框架确认存在远程代码执行漏洞（CVE-2022-22965）

发布日期：2022年3月30日
分类：软件框架、库和组件

摘要

Praetorian已确认Spring（一个极其流行的Java框架）中存在远程代码执行漏洞。该漏洞对Spring生态系统的影响范围尚不明确。此漏洞已被评定为"严重"级别。

详细内容

更新通知（纽约时间上午10:00） 该漏洞已被分配CVE-2022-22965编号，Spring团队正在发布修复程序。请关注官方发布获取最新更新。

原始通知 此漏洞与CVE-2022-22963、Spring Cloud Function或SpEL路由表达式无关。那是另一个（可能？）影响范围较小的问题。不幸的是，两者都被广泛称为"Spring4Shell"，这大大增加了混淆。我们建议社区避免使用该术语。

Praetorian已确认存在影响Spring Core的远程代码执行漏洞。Praetorian还证实了在线传言，即该问题是由对非常古老的问题CVE-2010-1622的部分修复引起的。不幸的是，概念验证代码现已广泛可用，并很可能被武器化。

然而，我们不知道这个问题的实际影响范围有多广，或者在现实世界中利用的难易程度如何。截至纽约时间3月30日深夜，还没有太多证据表明它在常见配置中可被利用。

当前状态 目前没有补丁。现有的概念验证以及2010年的概念验证在构建攻击时都引用了class.module.classLoader。因此，Bug Alert建议测试并部署一个WAF规则，分析请求体中是否包含classLoader术语。请记住，基于正则表达式的WAF规则通常很容易被绕过，因此不要将其视为长期解决方案。

后续行动 请继续关注Praetorian博客和Bug Alert讨论线程（下方链接）以获取更多信息。一旦可用，Spring项目的官方通知可能会发布在VMware Tanzu安全公告页面上（VMware拥有Spring项目）。他们很可能稍后会提供包含更多信息的博客文章。

Rapid7已经整理了一份包含技术细节的优秀分析报告。他们的博客文章还详细说明了漏洞利用成功所需的一些配置，并承诺在获得额外信息时通过该渠道提供。

相关标签

Java、Spring、严重严重性、CVE-2010-1622、CVE-2022-22965

其他漏洞讨论可在GitHub上找到。 有信息要贡献？提交拉取请求！