描述

运行在 JDK 9+ 上的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定进行的远程代码执行 (RCE) 攻击。具体的漏洞利用需要应用程序以 WAR 部署方式在 Tomcat 上运行。如果应用程序作为 Spring Boot 可执行 jar（即默认方式）部署，则不会受到此漏洞利用的影响。然而，此漏洞的性质更为普遍，可能存在其他利用方式。

以下是此漏洞利用的先决条件：

• JDK 9 或更高版本
• Apache Tomcat 作为 Servlet 容器
• 打包为 WAR
• spring-webmvc 或 spring-webflux 依赖项

受影响的 Spring 产品和版本

• Spring Framework
  • 5.3.0 到 5.3.17
  • 5.2.0 到 5.2.19
  • 较旧的、不受支持的版本也受到影响

缓解措施

受影响版本的用户应应用以下缓解措施：5.3.x 用户应升级到 5.3.18+，5.2.x 用户应升级到 5.2.20+。无需其他步骤。对于无法升级到上述版本的应用程序，还有其他缓解步骤。这些步骤在早期公告博客文章中有所描述，列在“资源”部分。已修复此问题的版本包括：

• Spring Framework
  • 5.3.18+
  • 5.2.20+

致谢

此漏洞由 AntGroup FG 安全实验室的 codeplutos 和 meizjm3i 负责任地报告给 VMware。此外，还收到了 Praetorian 的次要报告。

参考资料

• https://springjava.cn/blog/2022/03/31/spring-framework-rce-early-announcement
• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

历史

• 2022-03-31：首次发布漏洞报告。