近日,spring框架发布重大漏洞信息。
该漏洞编号为:CVE--:SpringFrameworkRCEviaDataBindingonJDK9+漏洞级别:Critical
详细描述为:在JDK9+上运行的SpringMVC或SpringWebFlux应用程序可能容易通过数据绑定进行远程代码执行(RCE)。该漏洞要求应用程序作为WAR部署在Tomcat上运行。如果应用程序部署为SpringBoot可执行jar,即默认jar,则不受漏洞的攻击。然而,脆弱性的性质更为普遍,可能还有其他方法可以利用它。
这些是漏洞执行的先决条件:1.JDK9或更高
2.ApacheTomcat作为Servlet容器
3.打包为WAR
4.依赖Spring-webmvc或spring-webflux
受影响的SpringFramework版本:SpringFramework5.3.0到5.3.17
SpringFramework5.2.0到5.2.19
较旧的、不受支持的版本也受到影响
官方声明转载请注明:http://www.0431gb208.com/sjszlff/377.html
