Spring4Shell (CVE-2022-22965)
Was ist Spring4Shell (CVE-2022-22965)?
Spring4Shell (CVE-2022-22965)RCE-Schwachstelle von 2022 im Spring Framework: unsicheres Data-Binding auf JDK 9+ erlaubte das Manipulieren von Tomcat-Properties, um eine Webshell auszubringen.
Ende März 2022 offengelegt, ist Spring4Shell (CVE-2022-22965) ein Remote-Code-Execution-Fehler im Request-Mapping von Spring WebMvc/WebFlux unter Java 9+, wenn Anwendungen als WAR auf Tomcat laufen. Mit Parametern, die class.module.classLoader durchqueren, konnten Angreifer Tomcats Logging-Konfiguration überschreiben und eine angreiferkontrollierte JSP-Datei in den Webroot legen — RCE ohne Authentifizierung. Gelegentlich wurde sie mit der unverwandten CVE-2022-22963 in Spring Cloud Function verwechselt. Schutz: Spring Framework auf 5.3.18/5.2.20+ aktualisieren (ein JDK-Update reicht nicht), die dokumentierten Parameter-Muster im WAF blockieren, monolithische WAR-Deployments auf Tomcat vermeiden.
● Beispiele
- 01
POST mit class.module.classLoader-Parametern, der eine JSP-Shell in eine Tomcat-Webapp schreibt.
- 02
Massenhafte Scans von Spring-Boot-WAR-Deployments zum Platzieren von Webshells nach der Veröffentlichung.
● Häufige Fragen
Was ist Spring4Shell (CVE-2022-22965)?
RCE-Schwachstelle von 2022 im Spring Framework: unsicheres Data-Binding auf JDK 9+ erlaubte das Manipulieren von Tomcat-Properties, um eine Webshell auszubringen. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.
Was bedeutet Spring4Shell (CVE-2022-22965)?
RCE-Schwachstelle von 2022 im Spring Framework: unsicheres Data-Binding auf JDK 9+ erlaubte das Manipulieren von Tomcat-Properties, um eine Webshell auszubringen.
Wie schützt man sich gegen Spring4Shell (CVE-2022-22965)?
Schutzmaßnahmen gegen Spring4Shell (CVE-2022-22965) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Spring4Shell (CVE-2022-22965)?
Übliche alternative Bezeichnungen: CVE-2022-22965, Spring-Core-RCE.