本帖最后由 Mxt8106 于 2022-4-1 10:27 编辑
请确认一下平台是否用到及spring的版本
漏洞描述: 天大天财安服团队监测到互联网上披露了Spring中存在的一个远程代码执行漏洞,漏洞编号:未知,漏洞威胁等级:高危,漏洞评分:9.8。
影响版本: Spring core 利用条件: 1、JDK 9.0 + 2、Spring 框架以及衍生的框架 spring-beans-*.jar 文件 或者 存在 CachedIntrospectionResults.class 自检方案: 防御1:WAF 1、WAF中实现对 class.*, Class.*, *.class.*,*.Class.* 字符串的规则过滤,【参数名中出现】 临时修复: 全局搜索 @InitBinder注解,判断方法体内是否有dataBinder.setDisallowedFields方法, 如果有使用则在原来的黑名单中添加: {"class.*","Class.*","*.class.*","*.Class.*"}
安全提醒: 漏洞曝出后,有一些安全人员迫不及待的想要poc,exp, 有些不法分子就利用这一心理进exp行钓鱼。 昨天有人在群里发了一个Spring core RCE漏洞的EXP,链接如下:
https://github.com/shakeman8/Spring-Core-RCE
| 
IP卡
狗仔卡
发表于 2022-4-1 09:53:44
![QK6XA2WR]Y}0FN4}7G_3VNO.png](data/attachment/forum/202204/01/095215afedeersvqergvfl.png "QK6XA2WR]Y}0FN4}7G_3VNO.png")
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2022-4-1 11:59:46
楼主![$J$Z2DN]X{Z%4SM3E(OJ~S9.png](data/attachment/forum/202204/01/151956tf3t7o0nmkjm4ifu.png "$J$Z2DN]X{Z%4SM3E(OJ~S9.png")
