安全公告編號:CNTA-2022-0009

2022年3月30日👲，國家信息安全漏洞共享平臺（CNVD）收錄了Spring框架遠程命令執行漏洞（CNVD-2022-23942）。攻擊者利用該漏洞，可在未授權的情況下遠程執行命令🫰🏼。目前👰🏻‍♀️，漏洞利用細節已大範圍公開，Spring官方已發布補丁修復該漏洞。CNVD建議受影響的單位和用戶立即更新至最新版本🚵🏼🚴🏼。

一、漏洞情況分析

Spring框架（Framework）是一個開源的輕量級J2EE應用程序開發框架⚁，提供了IOC、AOP及MVC等功能，解決了程序人員在開發中遇到的常見問題，提高了應用程序開發便捷度和軟件系統構建效率🍻。

2022年3月30日😾，CNVD平臺接收到螞蟻科技集團股份有限公司報送的Spring框架遠程命令執行漏洞🚆。由於Spring框架存在處理流程缺陷🏕，攻擊者可在遠程條件下，實現對目標主機的後門文件寫入和配置修改，繼而通過後門文件訪問獲得目標主機權限🤫。使用Spring框架或衍生框架構建網站等應用👰🏿‍♂️，且同時使用JDK版本在9及以上版本的，易受此漏洞攻擊影響。

CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響範圍

漏洞影響的產品版本包括：

版本低於5.3.18和5.2.20的Spring框架或其衍生框架構建的網站或應用。

三、漏洞處置建議

目前，Spring官方已發布新版本完成漏洞修復🏺，CNVD建議受漏洞影響的產品（服務）廠商和信息系統運營者盡快進行自查，並及時升級至最新版本：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

附🚴‍♀️：參考鏈接：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://github.com/spring-projects/spring-framework/compare/v5.3.17...v5.3.18

(信息來源：國家信息安全漏洞共享平臺)