SpringRCE漏洞CVE-2022-22965的终极解决⽅案
在 介绍了
Spring框架爆出的RCE(远程命令执⾏)漏洞,现在这个漏洞有了统⼀的编号: CVE-2022-22965。 这个漏洞的主要原因是在JDK 9+版本⾥,Spring MVC 的数据绑定时出现的漏洞。
影响范围
受影响的是同时满⾜以下状况的场景:
JDK 9及以上版本
使⽤Tomcat 服务器
以war 部署运⾏
使⽤了spring-webmvc或 spring-webflux
Spring框架版本是 5.3.0 到 5.3.17, 5.2.0 到 5.2.19,以及更旧的版本。
如果上⾯的条件有⼀个不满⾜, 是不需要担⼼的。
最佳解决⽅法
Spring 框架: 升级到 5.2.20
Spring Boot升级到2.6.6
Tomcat的8,9.,10 版本可以使⽤ 8.5.78 9.0.62 和10.0.20版本
临时解决⽅法参考cve漏洞库
Spring官⽅修复历程
[03-31 11:59] 发布Spring框架的5.3.18 and 5.2.20, 但是对Spring Boot的措施没有发布。主要是通过disallowedFields
[03-31 14:00] 正式的漏洞号码发布

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。