Spring 框架存在高危 RCE 零日漏洞,请马上升级!


近日,最受欢迎的开源轻量级 Java 框架 Spring 被曝存在高危的 RCE(远程控制设备) 零日漏洞 ,、外媒 、 等站点对该漏洞进行了报道。 据网上疯传的介绍,该 RCE 漏洞源于 Spring 框架核心的 SerializationUtils#dserialize 方法,该方法基于 Java 的序列化与反序列机制,可导致远程代码执行 (RCE),使用 JDK9 及以上版本皆有可能受到影响。 正在紧急修复? 从 Spring 项目的 Git 提交记录来看,在漏洞消息疯传的同时, Spring 开发者似乎在紧急处理漏洞相关的代码,比如 3 月 29日的新提交:。 在这个敏感的时间点,该提交引了一些紧张情绪,很多用户在该提交下面留言,询问该提交的代码改动是否与网传的 0day RCE 漏洞相关?而 Spring 核心开发者之一 对此作出澄清: 弃用 SerializationUtils#deserialize 跟目前所有的漏洞都没有关系。 此提交的目的是通知使用过 SerializationUtils#deserialize 的用户:从不受信任的来源反序列化对象是危险的。 Spring 核心框架不会使用 SerializationUtils 反序列化来自不受信任来源的对象。 事实上,早在 2 月 19 日 Spring 框架的仓库就出现过对该 SerializationUtils 方法的讨论,开发者  就指出:基于 Java 的序列化机制,SerializationUtils#dserialize 可能导致 RCE 远程代码执行漏洞,因此他提出了弃用 SerializationUtils#dserialize 的 PR  : 由此看来,前面的提交是 ledoyen 针对该 PR 的一次代码合并,弃用 SerializationUtils#dserialize也是计划之内的事情。有人询问在该 PR 下询问“ SerializationUtils#dserialize 是否应该作为漏洞报道”时, ledoyen 也进行解释: SerializationUtils#dserialize本身不是漏洞,使用此工具处理用户输入数据可能会导致 CVE,但该方法在内部作为缓存结果拦截器( CacheResultInterceptor) 使用的话,则不会导致任何漏洞。 目前, SerializationUtils#dserialize在 Spring Framework 6.0 中已弃用,而对于 5.3.x 版本,则是向 Javadoc 中添加针对 SerializationUtils 工具类的警告,以提高用户的警觉意识。 漏洞炒作! 如果确实存在,那么这个 Spring 框架 RCE 漏洞的影响将远超此前的 Log4j 或 Heartbleed ,但小编翻了一整天,也没有看到谁能真正复现此漏洞(没有完整的 Poc ,基本是开局一张马赛克图,漏洞细节全靠编)。 GitHub 上倒是有很多命名为 Spring core RCE 的新仓库,但也基本都是“懂的都懂”的谜语描述,没有真正的干货内容。 目前为数不多的详细 PoC 还是故意先按 Spring 文档明确反对的用法引入易受攻击的代码,再进行漏洞攻击 ...而据郑州网络安全协会,甚至还有人打着 Poc 的幌子钓鱼... 截至发稿时间,Spring 团队没有对该漏洞发表任何官方公告:的最新漏洞公告是 和 ,但这两个漏洞的严重程度都是中等,无法与网传 Spring 核心框架的 RCE 高危程度相比。

相關推薦

2022-04-01

Spring 沦陷了!这样的标题这几天是不是看腻了?然而,仔细看看都是拿着之前的几个毫不相干的CVE来大吹特吹。所以,昨天发了一篇关于最近的文章,聊了聊这些让人迷惑的营销文、以及提醒大家不要去下载一些利用漏洞提供

2022-11-03

漏洞 由于 OpenSSL 3.0.0 - 3.0.6 版本中在 X.509 证书验证中存在缓冲区溢出漏洞,可以通过制作恶意电子邮件地址以溢出堆栈上的 4 个字节,成功利用此漏洞可用于发起 Dos 攻击或远程代码执行。 CVE-2022-3786:X.509 电子邮件地址可

2023-09-13

org.jeecgframework.jimureport</groupId> <artifactId>jimureport-spring-boot-starter</artifactId> <version>1.6.2-GA2</version> </dependency> 最新依赖还未上传 maven 官仓,下载失败请先配置 JEECG 的 Maven 私服。 #升级日志 #升级权

2021-12-16

he Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并引入了大量丰富的特性。该日志框架被广泛地用于中间件、开发框架与Web应用中,用来记录日志信息。 由于组件存在 Java JNDI 注入漏洞,当程序将用户输入的数

2022-04-07

DataGear 3.0.1 发布,修复系统Spring库存在的RCE漏洞,具体更新内容如下: 修复:SpringBoot版本由2.6.4升级至2.6.6,修复其2.6.4版本存在的RCE漏洞; 强烈建议大家升级! DataGear是一款开源免费的数据可视化分析平台,支持自

2022-03-08

将 XML 文档转换为网页或 PDF 文档)CVE-2022-26486:WebGPU IPC 框架中的意外消息可能导致 use-after-free Bug 和可利用的沙箱逃逸。(WebGPU 是一种新兴的 Web 标准,被宣传为当前 WebGL JavaScript 图形库的继承者) use-after-free Bug 是指内存块

2021-12-29

Apache Log4j 日志库中发现了另一个严重的远程代码执行漏洞,现在被跟踪为 CVE-2021-44832。这是 Log4j 库中的第五个 RCE 和第六个非常严重的漏洞,其次分别是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻击)。 目前,Apache

2022-04-25

络安全公司 Check Point 的研究人员近日发现,开源的 ALAC 存在严重的漏洞,该漏洞允许攻击者在受影响的设备上进行远程代码执行(RCE)攻击。而联发科和高通这两大移动芯片制造商都在旗下的音频解码器中使用了相关代码。

2024-07-08

(KVM) 管理程序中的漏洞。值得注意的是,kvmCTF 的重点是零日漏洞,不会奖励针对已知漏洞的漏洞。只有在上游补丁发布后,谷歌才会收到发现的零日漏洞的详细信息,确保信息同时与开源社区共享。 kvmCTF 使用 Google Bare Metal Sol

2022-03-09

号为 CVE-2022-0847。 据介绍,此漏洞自 5.8 版本起就已存在。非 root 用户通过注入和覆盖只读文件中的数据,从而获得 root 权限。因为非特权进程可以将代码注入 root 进程。 Max 表示,“脏管道”漏洞与几年前的“脏牛”类

2021-12-24

含的漏洞编号有:CVE-2021-44224、CVE-2021-44790,漏洞等级:高危,漏洞评分:8.2。 Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流

2023-02-25

着更新或补丁可用但尚未应用。 此外,Log4J 漏洞仍然存在。在全部的代码库中,有 5% 的代码库中发现了易受攻击的 Log4J 版本;审计的 Java 代码库中,也有 11% 发现了易受攻击的 Log4J 版本。 报告建议,为避免漏洞利用并保

2022-08-15

发现,Discord、Microsoft Teams 和其他应用软件所使用的底层框架存在 RCE(远程代码执行)漏洞。 上周四在拉斯维加斯举行的黑帽网络安全大会 (Black Hat cybersecurity conference) 上,安全研究人员在流行的应用软件如 Discord、Microsoft T

2022-11-25

Ruby 3.1.3、3.0.5、2.1.7 发布了,这几个版本都只包含一个安全修复程序,修复了同一个漏洞: CVE-2021-33621:CGI 中的 HTTP 响应拆分 如果应用程序使用带有不受信任的用户输入的 cgi gem 生成 HTTP 响应,则攻击者可以利用它来注入