近日,网络安全领域再次拉响警报,Spring Framework被曝出存在严重的远程代码执行(RCE)漏洞,编号为CVE-2022-22965。该漏洞允许攻击者在满足特定条件下,通过数据绑定机制在目标主机上执行任意代码,进而可能写入后门文件、修改系统配置,最终获取主机权限并攻击整个系统。
据悉,此漏洞主要影响运行在JDK 9及以上版本的Spring MVC或Spring WebFlux应用,且这些应用需以WAR包形式部署在Apache Tomcat服务器上。受影响的Spring Framework版本包括5.3.0至5.3.17以及5.2.0至5.2.19,其他旧版本也可能存在风险。
漏洞披露后,VMware官方迅速响应,发布了安全公告并提供了详细的修复指南。官方强烈建议受影响版本的用户立即升级至Spring Framework 5.3.18或5.2.20及以上版本,以消除安全隐患。对于无法立即升级的应用,官方也提供了其他临时缓解措施。
此次漏洞由AntGroup FG Security Lab的codeplutos和meizjm3i研究人员发现,并负责任地向VMware报告。此外,Praetorian也提交了相关报告。VMware对发现者的贡献表示感谢,并提醒所有Spring用户密切关注官方安全公告,及时采取措施保护系统安全。
网络安全无小事,各企业和开发者应高度重视此次漏洞,尽快评估自身系统风险并采取相应措施,确保系统安全稳定运行。
官方补丁:https://tanzu.vmware.com/security/cve-2022-22965