漏洞预警 - Spring框架可能存在远程代码执行漏洞

摘要

据信Spring（一个极其流行的Java框架）中存在一个未经确认但可能存在的远程代码执行漏洞。该问题在常见配置中可能容易被利用。如果得到确认，将发布另一个严重性为"严重"的通知。在未经确认的情况下，该漏洞的严重性已被评为"高"。

详细内容

3月30日下午3点（纽约时间）更新

Praetorian在最近发布的博客文章中确认了此RCE漏洞的存在。 此处已添加新的Bug Alert通知。

3月30日下午1:30（纽约时间）更新

Bug Alert团队了解到有关Spring核心RCE概念验证的声明。然而，在发出进一步警报之前，我们正在等待确认，并且我们未能成功利用该概念验证来攻击我们有（合法）访问权限的实际Spring安装。一些安全专业人士在Twitter上声称，他们能够成功利用该概念验证来攻击运行在Tomcat后面的Spring实例。

更加混乱的是，多位Spring开发人员公开表示Spring Core中没有已知漏洞，他们还表示昨天与序列化相关的代码更改并非试图解决开放的安全问题。

我们将随时分享任何进一步的信息，但目前我们采取谨慎的态度，不发出进一步的警报。这已经是一个极其混乱的情况，Bug Alert希望避免使其恶化。

最后，我们想提醒读者，Bug Alert旨在成为最早的信息来源之一，我们必须权衡早期但错误的風險。这很可能最终是我们错误的情况，但在当下很难知道什么是准确的。我们将继续监控情况并报告新的进展。

原始通知

本通知旨在提醒您Spring可能存在重大问题，如果确认，需要立即关注。

2022年3月29日星期二上午（纽约时间），安全研究团队KnownSec的一名成员在Twitter上发布了一张现已删除的截图，声称显示了对Spring核心（互联网上使用最流行的Java框架）的一个轻松利用的远程代码执行漏洞。该研究人员没有提供概念验证或公开细节。自那时起，Bug Alert团队一直在非常密切地监控Spring生态系统中的活动和讨论。

更新：下一段中的声明已被Spring团队反驳。出于历史背景考虑，我保留了这些内容可见。

在我们初步调查期间，Bug Alert志愿者团队注意到大约在同一时间Spring代码库中引入了一个小更改，这可能是针对此特定远程代码执行问题的补丁。团队认为通过此向量可能实现RCE，并且此更改很可能是旨在解决Spring中问题的更改。然而，Spring团队尚未发表评论，并锁定/关闭了询问这些声明准确性的GitHub问题。

就在几分钟前，网络安全博客Cyber Kendra发布了一篇新文章，详细介绍了过去几个小时在中国博客和媒体上流传的（翻译后的）声明。该文章还详细介绍了检测或缓解此漏洞的一些（未经确认的）方法。

本通知旨在让您为可能存在一个轻松利用的远程代码执行漏洞的可能性做好准备，该漏洞存在于最广泛使用的开源软件之一。如果此漏洞确实存在，其影响将是重大的；远远超过Log4j或Heartbleed的影响。

如果您有反馈（您是否同意/不同意应该发送通知？）或问题，请在下面链接的讨论线程中评论。此通知使项目花费了约50美元。如果您想支持该项目，可以在此处了解更多信息。

标签

Java | Spring | 高严重性

可在GitHub上找到其他漏洞讨论。 有信息要贡献？提交拉取请求！