Spring RCE 0day高危漏洞预警

3月29日，Spring框架曝出RCE 0day漏洞。已经证实由于 ​

SerializationUtils#deserialize 基于 Java 的序列化机制，可导致远程代码执行 (RCE)，使用JDK9及以上版本皆有可能受到影响。

漏洞描述：

在Spring框架的JDK9及以上版本中，远程攻击者可在满足特定条件的基础上，通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值，从而触发pipeline机制并 写入任意路径下的文件。

目前已知，触发该漏洞需要满足两个基本条件：

使用JDK9及以上版本的Spring MVC框架
Spring 框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class

漏洞影响范围：

JDK9及以上​

解决方案（临时）：

卸载计算器即可
WAF临时策略

在WAF等网络防护设备上，根据实际部署业务的流量情况，过滤以下字符换

"class.*" , "Class.*" , "*.class.*" , "*.Class.*" 

当然了，现在log4j漏洞已经有安全版本了，大家不防升级log4j至安全版本

1.2.17 
2.12.4 
2.17.1 
2.3.2 

​回滚JDK8即可免于影响，费点劲总比被揍强吧

对了，昨天有Github发表了一个关于spring的exp为有针对性的钓鱼木马，请大家昨日下载的人更改本地密码，及时进行应急处置

链接如下

https://github.com/shakeman8/Spring-Core-RCE（钓鱼）