Spring4Shell (CVE-2022-22965)
Spring4Shell (CVE-2022-22965) 是什么?
Spring4Shell (CVE-2022-22965)2022 年披露的 Spring Framework 远程代码执行漏洞,在 JDK 9+ 上不安全的数据绑定让攻击者可操纵 Tomcat 属性以部署 Webshell。
Spring4Shell(CVE-2022-22965)于 2022 年 3 月底披露,出现在 Spring Framework 的 WebMvc/WebFlux 请求映射中,影响 Java 9+ 且以 WAR 方式部署在 Tomcat 的应用。攻击者通过构造带 class.module.classLoader 的参数,可以覆盖 Tomcat 的日志配置,从而在 Webroot 中写入受控 JSP 文件,实现未认证的 RCE。它有时被与不相关的 Spring Cloud Function 漏洞 CVE-2022-22963 混淆。防御措施包括将 Spring Framework 升级到 5.3.18/5.2.20 及以上(仅升级 JDK 不够)、在 WAF 中拦截已公开的参数模式,并避免在 Tomcat 上以单体 WAR 形式部署。
● 示例
- 01
发送带 class.module.classLoader 的 POST,将 JSP shell 写入 Tomcat 的 webapp。
- 02
披露后,对以 WAR 部署的 Spring Boot 应用进行大规模扫描以植入 Webshell。
● 常见问题
Spring4Shell (CVE-2022-22965) 是什么?
2022 年披露的 Spring Framework 远程代码执行漏洞,在 JDK 9+ 上不安全的数据绑定让攻击者可操纵 Tomcat 属性以部署 Webshell。 它属于网络安全的 漏洞 分类。
Spring4Shell (CVE-2022-22965) 是什么意思?
2022 年披露的 Spring Framework 远程代码执行漏洞,在 JDK 9+ 上不安全的数据绑定让攻击者可操纵 Tomcat 属性以部署 Webshell。
如何防御 Spring4Shell (CVE-2022-22965)?
针对 Spring4Shell (CVE-2022-22965) 的防御通常结合技术控制与运营实践,详见上方完整定义。
Spring4Shell (CVE-2022-22965) 还有哪些其他名称?
常见的别称包括: CVE-2022-22965, Spring core RCE。