描述

在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定进行的远程代码执行 (RCE) 的攻击。特定的漏洞利用需要应用程序在 Tomcat 上作为 WAR 部署运行。如果应用程序作为 Spring Boot 可执行 jar 部署，即默认情况，则不会受到漏洞利用的影响。但是，漏洞的本质更普遍，可能存在其他利用它的方法。

这些是漏洞利用的先决条件

• JDK 9 或更高版本
• Apache Tomcat 作为 Servlet 容器
• 打包为 WAR
• spring-webmvc 或 spring-webflux 依赖项

受影响的 Spring 产品和版本

• Spring Framework
  • 5.3.0 至 5.3.17
  • 5.2.0 至 5.2.19
  • 较旧的、不受支持的版本也受到影响

缓解措施

受影响版本的使用者应应用以下缓解措施：5.3.x 用户应升级到 5.3.18+，5.2.x 用户应升级到 5.2.20+。无需其他步骤。对于无法升级到上述版本的应用程序，还有其他缓解措施。这些在早期公告博客文章中进行了描述，列在“资源”部分下。已修复此问题的版本包括

• Spring Framework
  • 5.3.18+
  • 5.2.20+

致谢

此漏洞由 AntGroup FG 安全实验室的 codeplutos、meizjm3i 负责任地报告给 VMware。还收到了 Praetorian 的二次报告。

参考

• https://springjava.cn/blog/2022/03/31/spring-framework-rce-early-announcement
• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

历史

• 2022-03-31：发布初始漏洞报告。