Spring 安全公告

所有公告

CVE-2017-8045:Spring AMQP远程代码执行漏洞

高危 | 2017年9月19日 | CVE-2017-8045

描述

在受影响版本的Spring AMQP中,在将org.springframework.amqp.core.Message转换为字符串时,可能会不安全地反序列化。可以构造恶意有效负载来利用此漏洞并实现远程代码执行攻击。

受影响的Spring产品和版本

  • 低于1.7.4、1.6.11和1.5.7版本的Spring AMQP

缓解措施

受影响版本的使用者应采取以下缓解措施:

  • 已修复此问题的版本包括:
    • Spring AMQP:2.0.0、1.7.4、1.6.11、1.5.7

致谢

此漏洞由Semmle和lgtm.com的莫曼悦负责报告。

参考资料

历史记录

2017-09-19:发布初始漏洞报告

报告漏洞

要报告Spring产品组合中项目的安全漏洞,请参阅安全策略

领先一步

VMware提供培训和认证,以加速您的进步。

了解更多

获得支持

Tanzu Spring在一个简单的订阅中提供对OpenJDK™、Spring和Apache Tomcat®的支持和二进制文件。

了解更多

即将举行的活动

查看Spring社区中所有即将举行的活动。

查看全部