Java Spring框架中关键零日漏洞的安全补丁发布

Spring Framework的维护人员发布了一个紧急补丁，以解决新披露的远程代码执行漏洞，如果成功利用该漏洞，可能会让未经验证的攻击者控制目标系统。

作为CVE-2022-22965跟踪，该高严重性缺陷会影响Spring Framework版本5.3.0至5.3.17、5.2.0至5.2.19以及其他不受支持的旧版本。建议用户升级到5.3.18或更高版本和5.2.20或更高版本。

Spring框架是一个Java框架，为开发web应用程序提供基础设施支持。

Spring的Rossen Stoyanchev说：“该漏洞会影响在[Java开发工具包]9+上运行的Spring MVC[model–；view–；controller]和Spring WebFlux应用程序”。木卫一在周四发布的一份公告中说。

Stoyanchev补充道：“特定的漏洞需要应用程序作为WAR部署在Tomcat上运行。如果应用程序部署为Spring Boot可执行jar，即默认情况下，它不易受到漏洞攻击。然而，漏洞的性质更为普遍，可能还有其他方法可以利用。”。

Praetorian的研究人员Anthony Weems和Dallas Kaman说：“利用该漏洞需要一个启用了DataBinder的端点（例如，自动解码来自请求体的数据的POST请求），并且严重依赖应用程序的servlet容器”。

警告称，“漏洞的性质更为普遍”，可能还有其他方法可以将尚未曝光的漏洞武器化。

该补丁发布之际，一位会说中文的研究人员于2022年3月30日短暂发布了一份GitHub提交，其中包含CVE-2022-22965的概念验证（PoC）攻击代码，之后该补丁被取下。

春天VMware的子公司io指出，该漏洞是由AntGroup FG安全实验室的codeplutos、meizjm3i在格林威治时间周二晚间接近午夜时首次向其发出警报的。该公司还感谢网络安全公司Praetorian报告了该漏洞。