安全公告編號:CNTA-2022-0009

2022年3月30日，國家信息安全漏洞共享平臺（CNVD）收錄了Spring框架遠程命令執(zhí)行漏洞（CNVD-2022-23942）。攻擊者利用該漏洞，可在未授權的情況下遠程執(zhí)行命令。目前，漏洞利用細節(jié)已大范圍公開，Spring官方已發(fā)布補丁修復該漏洞。CNVD建議受影響的單位和用戶立即更新至最新版本。

一、漏洞情況分析

Spring框架（Framework）是一個開源的輕量級J2EE應用程序開發(fā)框架，提供了IOC、AOP及MVC等功能，解決了程序人員在開發(fā)中遇到的常見問題，提高了應用程序開發(fā)便捷度和軟件系統(tǒng)構建效率。

2022年3月30日，CNVD平臺接收到螞蟻科技集團股份有限公司報送的Spring框架遠程命令執(zhí)行漏洞。由于Spring框架存在處理流程缺陷，攻擊者可在遠程條件下，實現(xiàn)對目標主機的后門文件寫入和配置修改，繼而通過后門文件訪問獲得目標主機權限。使用Spring框架或衍生框架構建網站等應用，且同時使用JDK版本在9及以上版本的，易受此漏洞攻擊影響。

CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

漏洞影響的產品版本包括：

版本低于5.3.18和5.2.20的Spring框架或其衍生框架構建的網站或應用。

三、漏洞處置建議

目前，Spring官方已發(fā)布新版本完成漏洞修復，CNVD建議受漏洞影響的產品（服務）廠商和信息系統(tǒng)運營者盡快進行自查，并及時升級至最新版本：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

附：參考鏈接：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://github.com/spring-projects/spring-framework/compare/v5.3.17...v5.3.18