Spring框架漏洞解析之二
原文中文,约9300字,阅读约需22分钟。发表于: 。CVE-2022-22965、CVE-2022-22947、CVE-2018-1273、CVE-2018-1270
Spring Framework远程代码执行漏洞(CVE-2022-22965)是Java 9环境下的漏洞,攻击者可绕过黑名单禁用的类执行任意代码。Spring Cloud Gateway远程代码执行(CVE-2022-22947)是在使用Spring Cloud Gateway的应用程序中,启用或暴露不安全的Gateway Actuator端点时容易受到代码注入攻击。Spring Data Commons远程命令执行漏洞(CVE-2018-1273)是在Spring Data Commons的2.0.5及以前版本中存在的SpEL表达式注入漏洞,攻击者可注入恶意SpEL表达式执行任意命令。Spring Messaging远程命令执行漏洞(CVE-2018-1270)是在Spring框架中的spring-messaging模块中存在的STOMP消息代理处理客户端消息时的SpEL表达式注入漏洞,攻击者可通过构造恶意消息实现远程代码执行。