描述

在 JDK 9+ 上執行的 Spring MVC 或 Spring WebFlux 應用程式可能容易受到透過資料繫結進行的遠端程式碼執行 (RCE) 攻擊。 該漏洞的具體利用需要應用程式作為 WAR 部署在 Tomcat 上執行。 如果應用程式部署為 Spring Boot 可執行 jar（即預設設定），則不會受到該漏洞的影響。 但是，該漏洞的性質更普遍，可能還有其他利用方法。

以下是利用此漏洞的先決條件

• JDK 9 或更高版本
• Apache Tomcat 作為 Servlet 容器
• 打包為 WAR
• spring-webmvc 或 spring-webflux 依賴項

受影響的 Spring 產品和版本

• Spring Framework
  • 5.3.0 到 5.3.17
  • 5.2.0 到 5.2.19
  • 較舊的、不受支援的版本也受到影響

緩解措施

受影響版本的使用者應應用以下緩解措施：5.3.x 使用者應升級到 5.3.18+，5.2.x 使用者應升級到 5.2.20+。 無需其他步驟。 對於無法升級到上述版本的應用程式，還有其他緩解措施。 這些措施在資源部分下列出的早期公告部落格文章中進行了描述。 已修復此問題的版本包括

• Spring Framework
  • 5.3.18+
  • 5.2.20+

鳴謝

VMware 從 codeplutos、螞蟻集團 FG 安全實驗室的 meizjm3i 負責任地報告了此漏洞。 Praetorian 也收到了第二份報告。

參考資料

• https://springframework.tw/blog/2022/03/31/spring-framework-rce-early-announcement
• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

歷史記錄

• 2022-03-31：釋出了初始漏洞報告。