Spring4Shell (CVE-2022-22965)
Что такое Spring4Shell (CVE-2022-22965)?
Spring4Shell (CVE-2022-22965)Уязвимость удалённого выполнения кода 2022 года в Spring Framework: небезопасный data binding на JDK 9+ позволял манипулировать свойствами Tomcat и разворачивать веб-шелл.
Spring4Shell (CVE-2022-22965), раскрытый в конце марта 2022 года, — уязвимость RCE в request mapping Spring (WebMvc/WebFlux) на Java 9+ при развёртывании приложений в Tomcat в виде WAR. Передавая параметры, проходящие через class.module.classLoader, атакующий мог перезаписать конфигурацию логирования Tomcat и записать в webroot подконтрольный JSP-файл, получив неаутентифицированный RCE. Иногда её путали с несвязанной CVE-2022-22963 в Spring Cloud Function. Защита: обновить Spring Framework до 5.3.18/5.2.20 и выше (обновления JDK недостаточно), блокировать описанные паттерны параметров на WAF, отказаться от монолитных WAR-развёртываний на Tomcat.
● Примеры
- 01
Отправка POST с параметрами class.module.classLoader для записи JSP-шелла в webapp Tomcat.
- 02
Массовое сканирование Spring Boot WAR-приложений с подсадкой веб-шеллов после раскрытия Spring4Shell.
● Частые вопросы
Что такое Spring4Shell (CVE-2022-22965)?
Уязвимость удалённого выполнения кода 2022 года в Spring Framework: небезопасный data binding на JDK 9+ позволял манипулировать свойствами Tomcat и разворачивать веб-шелл. Относится к категории Уязвимости в кибербезопасности.
Что означает Spring4Shell (CVE-2022-22965)?
Уязвимость удалённого выполнения кода 2022 года в Spring Framework: небезопасный data binding на JDK 9+ позволял манипулировать свойствами Tomcat и разворачивать веб-шелл.
Как защититься от Spring4Shell (CVE-2022-22965)?
Защита от Spring4Shell (CVE-2022-22965) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Spring4Shell (CVE-2022-22965)?
Распространённые альтернативные названия: CVE-2022-22965, Spring core RCE.