4 月 2 日消息，2022 年 3 月 30 日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了 Spring 框架遠(yuǎn)程命令執(zhí)行漏洞（CNVD-2022-23942）。并發(fā)布了關(guān)于 Spring 框架存在遠(yuǎn)程命令執(zhí)行漏洞的安全公告，安全公告編號(hào)：CNTA-2022-0009。

下面是公告內(nèi)容：

2022 年 3 月 30 日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了 Spring 框架遠(yuǎn)程命令執(zhí)行漏洞（CNVD-2022-23942）。攻擊者利用該漏洞，可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令。目前，漏洞利用細(xì)節(jié)已大范圍公開，Spring 官方已發(fā)布補(bǔ)丁修復(fù)該漏洞。CNVD 建議受影響的單位和用戶立即更新至最新版本。

一、漏洞情況分析

Spring 框架（Framework）是一個(gè)開源的輕量級(jí) J2EE 應(yīng)用程序開發(fā)框架，提供了 IOC、AOP 及 MVC 等功能，解決了程序人員在開發(fā)中遇到的常見問題，提高了應(yīng)用程序開發(fā)便捷度和軟件系統(tǒng)構(gòu)建效率。

2022 年 3 月 30 日，CNVD 平臺(tái)接收到螞蟻科技集團(tuán)股份有限公司報(bào)送的 Spring 框架遠(yuǎn)程命令執(zhí)行漏洞。由于 Spring 框架存在處理流程缺陷，攻擊者可在遠(yuǎn)程條件下，實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)的后門文件寫入和配置修改，繼而通過后門文件訪問獲得目標(biāo)主機(jī)權(quán)限。使用 Spring 框架或衍生框架構(gòu)建網(wǎng)站等應(yīng)用，且同時(shí)使用 JDK 版本在 9 及以上版本的，易受此漏洞攻擊影響。

CNVD 對(duì)該漏洞的綜合評(píng)級(jí)為“高?！薄?/p>

二、漏洞影響范圍

漏洞影響的產(chǎn)品版本包括：

版本低于 5.3.18 和 5.2.20 的 Spring 框架或其衍生框架構(gòu)建的網(wǎng)站或應(yīng)用。

三、漏洞處置建議

目前，Spring 官方已發(fā)布新版本完成漏洞修復(fù)，CNVD 建議受漏洞影響的產(chǎn)品（服務(wù)）廠商和信息系統(tǒng)運(yùn)營(yíng)者盡快進(jìn)行自查，并及時(shí)升級(jí)至最新版本：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

附：參考鏈接：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://github.com/spring-projects/spring-framework/compare/v5.3.17…v5.3.18

去年12月阿里云由于發(fā)現(xiàn)嚴(yán)重漏洞未上報(bào)，導(dǎo)致被暫停工信部網(wǎng)絡(luò)安全平臺(tái)合作單位，看來這次改過來了哈。https://zhujib.com/aliyunweijishibaogaoanquanloudongbe.html