博客

Spring库的新漏洞：如何知道你是否有风险以及如何应对

最近，Java社区中最受欢迎的库之一Spring库披露了2个与远程代码执行（RCE）有关的漏洞。为了帮助你更容易了解你是否面临这两个漏洞的风险以及采取什么行动，我们对 "Spring4Shell "和 "Spring Cloud Function "的已知细节进行了分解。

漏洞1 - "Spring4Shell" (CVE-2022-22965)

2022年3月29日，社区发现了一系列推文，其中包含一个针对Spring Core（SC）的漏洞概念证明的截图，该漏洞允许对Spring Core的所有版本进行远程代码执行，包括最近发布的版本5.3.17。

哪些应用程序有风险？

目前，只有托管在Tomcat上的应用程序被证实有可能受到这种新的攻击。虽然该漏洞还没有被证明对嵌入式Tomcat Servlet容器或任何其他非Tomcat托管的应用程序成功，但这并不排除该威胁在未来对这些框架成功的可能性。

Spring公司发布了关于该漏洞的官方声明，根据目前对该漏洞的理解，需要满足以下条件才会有漏洞。

JDK 9或更高版本
Apache Tomcat作为Servlet容器
以传统的WAR形式打包（与Spring Boot的可执行jar相比）。
spring-webmvc或spring-webflux的依赖性
Spring框架的5.3.0至5.3.17、5.2.0至5.2.19版本，以及旧版本

"Spring4Shell "的开发是如何进行的？

该漏洞依赖于在方法签名中使用 "数据绑定"（org.springframework.web.bind.WebDataBinder）的请求，这些请求使用了普通旧Java对象（POJO）。

其中Foo类是一个POJO类，可以定义为如下。注意，实际的类并不重要，只要它被类加载器加载就可以了。

当一个请求被这样的方法处理时，类加载器被用来解决这个类。类加载器负责在运行时加载类，而不必先将所有可能的类型预加载到内存中。当一个新的类被使用时，它找出要加载的.jar文件。

你可以直接从Spring公司的博文中找到关于这个漏洞的最新和最深入的信息，包括潜在的修复或解决方法。

漏洞2 - Spring Cloud功能（CVE-2022-22963）。

2022年3月27日，Cyber Kendra披露了Spring云功能中的一个0天远程代码执行（RCE）漏洞的细节，该漏洞不存在补丁。该漏洞的ID为CVE-2022-22963。Spring Expression资源访问漏洞。

哪些应用程序有风险？

该漏洞影响了这些条件下的应用。

JDK 9或更新版本
Spring Cloud Functions 3.1.6（或更低）、3.2.2（或更低），或任何不支持的版本

剥削是如何进行的？

Spring Cloud Function为开发者提供了配置如何通过spring.cloud.function.routing-expression属性处理路由的能力，通常通过配置或代码完成。这是一个强大的功能，接受 "Spring表达式语言"（SpEL）。通过这个0日漏洞，我们了解到这个属性可以通过请求的HTTP头来设置，这意味着攻击者可以将SpEL代码直接嵌入他们对RoutingFunction端点的HTTP请求中，从而执行任意代码。

用户应该采取什么措施来减少风险？

Spring已经发布了3.1.7和3.2.3版本来解决这个问题，不允许通过HTTP头来设置这个属性，缓解了这个漏洞。升级到这两个版本后，不需要额外的步骤。

有兴趣了解更多关于我们如何帮助开发人员编写更安全的代码？预订一个演示或探索我们在安全代码教练上的免费安全编码指南。

‍

资料来源

‍

查看资源

请填写下表下载报告

名字

姓氏

公司电子邮件

公司

公司规模

工作角色

国家

联系许可

我们希望得到您的许可，向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料，绝不会将其出售给其他公司用于营销目的。

我希望听到更多来自Secure Code Warrior

提交

要提交表格，请启用 "分析 "cookies。完成后，请随时再次禁用它们。

最近，Java社区中最受欢迎的库之一Spring库披露了2个与远程代码执行（RCE）有关的漏洞。为了帮助你更容易了解你是否面临这两个漏洞的风险以及采取什么行动，我们对 "Spring4Shell "和 "Spring Cloud Function "的已知细节进行了分解。

漏洞1 - "Spring4Shell" (CVE-2022-22965)

2022年3月29日，社区发现了一系列推文，其中包含一个针对Spring Core（SC）的漏洞概念证明的截图，该漏洞允许对Spring Core的所有版本进行远程代码执行，包括最近发布的版本5.3.17。

哪些应用程序有风险？

目前，只有托管在Tomcat上的应用程序被证实有可能受到这种新的攻击。虽然该漏洞还没有被证明对嵌入式Tomcat Servlet容器或任何其他非Tomcat托管的应用程序成功，但这并不排除该威胁在未来对这些框架成功的可能性。

Spring公司发布了关于该漏洞的官方声明，根据目前对该漏洞的理解，需要满足以下条件才会有漏洞。

JDK 9或更高版本
Apache Tomcat作为Servlet容器
以传统的WAR形式打包（与Spring Boot的可执行jar相比）。
spring-webmvc或spring-webflux的依赖性
Spring框架的5.3.0至5.3.17、5.2.0至5.2.19版本，以及旧版本

"Spring4Shell "的开发是如何进行的？

该漏洞依赖于在方法签名中使用 "数据绑定"（org.springframework.web.bind.WebDataBinder）的请求，这些请求使用了普通旧Java对象（POJO）。

其中Foo类是一个POJO类，可以定义为如下。注意，实际的类并不重要，只要它被类加载器加载就可以了。

当一个请求被这样的方法处理时，类加载器被用来解决这个类。类加载器负责在运行时加载类，而不必先将所有可能的类型预加载到内存中。当一个新的类被使用时，它找出要加载的.jar文件。

你可以直接从Spring公司的博文中找到关于这个漏洞的最新和最深入的信息，包括潜在的修复或解决方法。

漏洞2 - Spring Cloud功能（CVE-2022-22963）。

2022年3月27日，Cyber Kendra披露了Spring云功能中的一个0天远程代码执行（RCE）漏洞的细节，该漏洞不存在补丁。该漏洞的ID为CVE-2022-22963。Spring Expression资源访问漏洞。

哪些应用程序有风险？

该漏洞影响了这些条件下的应用。

JDK 9或更新版本
Spring Cloud Functions 3.1.6（或更低）、3.2.2（或更低），或任何不支持的版本

剥削是如何进行的？

Spring Cloud Function为开发者提供了配置如何通过spring.cloud.function.routing-expression属性处理路由的能力，通常通过配置或代码完成。这是一个强大的功能，接受 "Spring表达式语言"（SpEL）。通过这个0日漏洞，我们了解到这个属性可以通过请求的HTTP头来设置，这意味着攻击者可以将SpEL代码直接嵌入他们对RoutingFunction端点的HTTP请求中，从而执行任意代码。

用户应该采取什么措施来减少风险？

Spring已经发布了3.1.7和3.2.3版本来解决这个问题，不允许通过HTTP头来设置这个属性，缓解了这个漏洞。升级到这两个版本后，不需要额外的步骤。

有兴趣了解更多关于我们如何帮助开发人员编写更安全的代码？预订一个演示或探索我们在安全代码教练上的免费安全编码指南。

‍

资料来源

‍

访问资源

点击下面的链接，下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务，帮助您在整个软件开发生命周期中确保代码安全，并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人，我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示

查看资源

想了解更多信息？

作者

最近，Java社区中最受欢迎的库之一Spring库披露了2个与远程代码执行（RCE）有关的漏洞。为了帮助你更容易了解你是否面临这两个漏洞的风险以及采取什么行动，我们对 "Spring4Shell "和 "Spring Cloud Function "的已知细节进行了分解。

漏洞1 - "Spring4Shell" (CVE-2022-22965)

2022年3月29日，社区发现了一系列推文，其中包含一个针对Spring Core（SC）的漏洞概念证明的截图，该漏洞允许对Spring Core的所有版本进行远程代码执行，包括最近发布的版本5.3.17。

哪些应用程序有风险？

目前，只有托管在Tomcat上的应用程序被证实有可能受到这种新的攻击。虽然该漏洞还没有被证明对嵌入式Tomcat Servlet容器或任何其他非Tomcat托管的应用程序成功，但这并不排除该威胁在未来对这些框架成功的可能性。

Spring公司发布了关于该漏洞的官方声明，根据目前对该漏洞的理解，需要满足以下条件才会有漏洞。

JDK 9或更高版本
Apache Tomcat作为Servlet容器
以传统的WAR形式打包（与Spring Boot的可执行jar相比）。
spring-webmvc或spring-webflux的依赖性
Spring框架的5.3.0至5.3.17、5.2.0至5.2.19版本，以及旧版本

"Spring4Shell "的开发是如何进行的？

该漏洞依赖于在方法签名中使用 "数据绑定"（org.springframework.web.bind.WebDataBinder）的请求，这些请求使用了普通旧Java对象（POJO）。

其中Foo类是一个POJO类，可以定义为如下。注意，实际的类并不重要，只要它被类加载器加载就可以了。

当一个请求被这样的方法处理时，类加载器被用来解决这个类。类加载器负责在运行时加载类，而不必先将所有可能的类型预加载到内存中。当一个新的类被使用时，它找出要加载的.jar文件。

你可以直接从Spring公司的博文中找到关于这个漏洞的最新和最深入的信息，包括潜在的修复或解决方法。

漏洞2 - Spring Cloud功能（CVE-2022-22963）。

2022年3月27日，Cyber Kendra披露了Spring云功能中的一个0天远程代码执行（RCE）漏洞的细节，该漏洞不存在补丁。该漏洞的ID为CVE-2022-22963。Spring Expression资源访问漏洞。

哪些应用程序有风险？

该漏洞影响了这些条件下的应用。

JDK 9或更新版本
Spring Cloud Functions 3.1.6（或更低）、3.2.2（或更低），或任何不支持的版本

剥削是如何进行的？

Spring Cloud Function为开发者提供了配置如何通过spring.cloud.function.routing-expression属性处理路由的能力，通常通过配置或代码完成。这是一个强大的功能，接受 "Spring表达式语言"（SpEL）。通过这个0日漏洞，我们了解到这个属性可以通过请求的HTTP头来设置，这意味着攻击者可以将SpEL代码直接嵌入他们对RoutingFunction端点的HTTP请求中，从而执行任意代码。

用户应该采取什么措施来减少风险？

Spring已经发布了3.1.7和3.2.3版本来解决这个问题，不允许通过HTTP头来设置这个属性，缓解了这个漏洞。升级到这两个版本后，不需要额外的步骤。

有兴趣了解更多关于我们如何帮助开发人员编写更安全的代码？预订一个演示或探索我们在安全代码教练上的免费安全编码指南。

‍

资料来源

‍

Secure Code Warrior 我们在这里为您的组织提供服务，帮助您在整个软件开发生命周期中确保代码安全，并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人，我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载

资源中心

资源

更多帖子

安全技能基准测试：简化企业安全设计

安全设计运动是安全软件开发的未来。了解公司在考虑安全设计计划时需要牢记的关键要素。

了解更多

2024 年 10 月 15 日

白皮书

单页传呼机

SCW 信任评分：迈向安全设计卓越的途径

了解 SCW 信任评分如何帮助您的组织在安全设计计划中占据领先地位。

2024 年 10 月 15 日

报告

2024 年 Gartner® Hype Cycle™ 应用程序安全预测周期

我们很荣幸地宣布，Secure Code Warrior 已被 Gartner 评为 2024 年 7 月 Hype CycleTM 应用程序安全报告的 #SampleVendor 。

2024 年 8 月 22 日

客户案例

数字海洋减少安全债务Secure Code Warrior

DigitalOcean 使用Secure Code Warrior 培训大大减少了安全债务，使团队能够更加专注于创新和生产力。安全性的提高增强了他们的产品质量和竞争优势。展望未来，SCW信任分数将帮助他们进一步加强安全实践，继续推动创新。

2024 年 8 月 15 日

资源中心

资源

更多帖子

信任度得分揭示了 "按设计确保安全 "提升计划的价值

我们的研究表明，安全代码培训是有效的。信任分数》采用一种算法，从 600 多个组织的 25 万多名学员的工作中提取了 2 000 多万个学习数据点，揭示了该算法在减少漏洞方面的有效性，以及如何使这一举措更加有效。

了解更多

2024 年 11 月 13 日

博客

被动安全与预防安全：预防是更好的治疗

在更新应用程序的同时为遗留代码和系统带来预防性安全的想法似乎令人生畏，但通过提高开发人员的技能而实施的 "按设计确保安全 "方法可以将安全最佳实践应用到这些系统中。这是许多组织改善其安全态势的最佳机会。

2024 年 10 月 31 日

博客

开发人员安全技能基准测试的益处

对安全代码和 "按设计安全 "原则的日益重视，要求开发人员从 SDLC 的一开始就接受网络安全培训，Secure Code Warrior'信任分数'等工具可帮助衡量和改进他们的进展。

2024 年 10 月 22 日

博客

推动企业安全设计计划取得重大成功

我们最新的研究论文《基准安全技能：简化企业安全设计》是对企业级实际安全设计举措进行深入分析并根据数据驱动的发现得出最佳实践方法的结果。

2024 年 10 月 15 日

OWASP 比荷卢

巴黎云计算与网络安全博览会

Spring库的新漏洞：如何知道你是否有风险以及如何应对

漏洞1 - "Spring4Shell" (CVE-2022-22965)

哪些应用程序有风险？

"Spring4Shell "的开发是如何进行的？

漏洞2 - Spring Cloud功能（CVE-2022-22963）。

哪些应用程序有风险？

剥削是如何进行的？

用户应该采取什么措施来减少风险？

有兴趣了解更多关于我们如何帮助开发人员编写更安全的代码？预订一个演示或探索我们在安全代码教练上的免费安全编码指南。

资料来源

漏洞1 - "Spring4Shell" (CVE-2022-22965)

哪些应用程序有风险？

"Spring4Shell "的开发是如何进行的？

漏洞2 - Spring Cloud功能（CVE-2022-22963）。

哪些应用程序有风险？

剥削是如何进行的？

用户应该采取什么措施来减少风险？

有兴趣了解更多关于我们如何帮助开发人员编写更安全的代码？预订一个演示或探索我们在安全代码教练上的免费安全编码指南。

资料来源

请填写下表下载报告

漏洞1 - "Spring4Shell" (CVE-2022-22965)

哪些应用程序有风险？

"Spring4Shell "的开发是如何进行的？

漏洞2 - Spring Cloud功能（CVE-2022-22963）。

哪些应用程序有风险？

剥削是如何进行的？

用户应该采取什么措施来减少风险？

有兴趣了解更多关于我们如何帮助开发人员编写更安全的代码？预订一个演示或探索我们在安全代码教练上的免费安全编码指南。

资料来源

漏洞1 - "Spring4Shell" (CVE-2022-22965)

哪些应用程序有风险？

"Spring4Shell "的开发是如何进行的？

漏洞2 - Spring Cloud功能（CVE-2022-22963）。

哪些应用程序有风险？

剥削是如何进行的？

用户应该采取什么措施来减少风险？

有兴趣了解更多关于我们如何帮助开发人员编写更安全的代码？预订一个演示或探索我们在安全代码教练上的免费安全编码指南。

资料来源

目录

资源

安全技能基准测试：简化企业安全设计

SCW 信任评分：迈向安全设计卓越的途径

2024 年 Gartner® Hype Cycle™ 应用程序安全预测周期

数字海洋减少安全债务Secure Code Warrior

资源

信任度得分揭示了 "按设计确保安全 "提升计划的价值

被动安全与预防安全：预防是更好的治疗

开发人员安全技能基准测试的益处

推动企业安全设计计划取得重大成功

开发人员驱动的编码。

安全地

今天就联系我们，让软件安全成为你开发过程中的一个固有部分。

连接

公司

产品

解决方案

资源