CVE-2022-22965:Spring远程代码执行漏洞

CVE-2022-22965:Spring Framework远程代码执行漏洞

本文仅为验证漏洞,在本地环境测试验证,无其它目的


漏洞编号:

CVE-2022-22965


漏洞说明:

Spring framework 是Spring 里面的一个基础开源框架,其目的是用于简化 Java 企业级应用的开发难度和开发周期,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。


漏洞影响范围:

  • Spring Framework < 5.3.18
  • Spring Framework < 5.2.20

漏洞级别:

高危


漏洞复现:

本次复现采用Vulhub靶场环境,需要在本地搭建Vulhub靶场(自行百度,如有问题可以沟通交流,后期时间充足可以再出Vulhub搭建教程),需注意将请求中的代码更换为靶机所在IP
(参考:Vulhub/CVE-2022-22965)

  1. 进入靶场环境:【Vulhub}-【Spring】-【CVE-2022-22965】,使用以下命令启动环境

    docker-compose up -d
    

你可能感兴趣的:(面试,学习路线,阿里巴巴,android,前端,后端)