各部门、学院:
近日Spring框架曝出 RCE 0day 漏洞,在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取 AccessLogValve 对象并诸如恶意字段值,从而触发 pipeline 机制并写入任意路径下的文件。
目前已知,触发该漏洞需要满足两个基本条件:
1、使用 JDK9 及以上版本的 Spring MVC 框架;
2、版本低于5.3.18的Spring 框架以及衍生的框架 spring-beans-*.jar文件或者存在 CachedIntrospectionResults.class。
目前,Spring官方已发布新版本并完成漏洞修复,建议受漏洞影响的系统运营者尽快联系厂商进行自查,并及时升级至最新版本:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
参考链接:
https://github.com/spring-projects/spring-framework/compare/v5.3.17...v5.3.18
信息化建设与管理办公室
2022年4月4日