描述

在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定进行的远程代码执行 (RCE) 攻击。 该漏洞的具体利用需要应用程序作为 WAR 部署在 Tomcat 上运行。 如果应用程序部署为 Spring Boot 可执行 jar（即默认设置），则不会受到该漏洞的影响。 但是，该漏洞的性质更普遍，可能还有其他利用方法。

以下是利用此漏洞的先决条件

• JDK 9 或更高版本
• Apache Tomcat 作为 Servlet 容器
• 打包为 WAR
• spring-webmvc 或 spring-webflux 依赖项

受影响的 Spring 产品和版本

• Spring Framework
  • 5.3.0 到 5.3.17
  • 5.2.0 到 5.2.19
  • 较旧的、不受支持的版本也受到影响

缓解措施

受影响版本的用户应应用以下缓解措施：5.3.x 用户应升级到 5.3.18+，5.2.x 用户应升级到 5.2.20+。 无需其他步骤。 对于无法升级到上述版本的应用程序，还有其他缓解措施。 这些措施在资源部分下列出的早期公告博客文章中进行了描述。 已修复此问题的版本包括

• Spring Framework
  • 5.3.18+
  • 5.2.20+

鸣谢

VMware 从 codeplutos、蚂蚁集团 FG 安全实验室的 meizjm3i 负责任地报告了此漏洞。 Praetorian 也收到了第二份报告。

参考资料

• https://springframework.org.cn/blog/2022/03/31/spring-framework-rce-early-announcement
• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

历史记录

• 2022-03-31：发布了初始漏洞报告。