码农知识堂 - 1000bd
  •   Python
  •   PHP
  •   JS/TS
  •   JAVA
  •   C/C++
  •   C#
  •   GO
  •   Kotlin
  •   Swift
  • Spring Framework 远程命令执行漏洞CVE-2022-22965


    Spring Framework 远程命令执行漏洞CVE-2022-22965

    文章目录

    • Spring Framework 远程命令执行漏洞CVE-2022-22965
      • 漏洞介绍
      • 影响版本
      • 漏洞危害
      • 漏洞修复
      • 漏洞利用

    漏洞介绍

    Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。 未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。 该漏洞广泛存在于Spring 框架以及衍生的框架中,并JDK 9.0及以上版本会受到影响。

    影响版本

    Spring Framework 5.3.X < 5.3.18

    Spring Framework 5.2.X < 5.2.20

    受影响条件(需同时满足):

    • JDK 9 及以上版本

    • Apache Tomcat 作为 Servlet 容器

    • Spring 框架以及衍生的框架

    漏洞危害

    危害等级:高
    通过执行exp脚本文件直接可以得到jsp文件的后门的路径已经执行参数

    漏洞修复

    可以在官方进行一个升级或者下载补丁
    https://github.com/spring-projects/spring-framework/commit/afbff391d8299034cd98af968981504b6ca7b38c

    漏洞利用

    http://10.9.47.6:36319/tomcatwar.jsp?pwd=j&cmd=whoami为后门的地址
    才可以在cmd后门执行系统命令

  • 相关阅读:
    第二章:ShardingSphere简介
    SQL语句
    el-form与v-if冲突,导致表单校验出问题
    [C++]封装
    mac装不了python3.7.6
    【JAVA】MyBatis-Plus插入/更新数据时如何自动更新字段时间
    Transformer的PE(position embedding),即位置编码理解
    07 【Sass语法介绍-控制指令】
    前端开发:在JS中以…为前缀的用法汇总
    铁打的DeltaS=0.02,流水的HFSS版本
  • 原文地址:https://blog.csdn.net/weixin_70137901/article/details/134081299
  • 最新文章
  • 【JVM】编译执行与解释执行的区别是什么?JVM 使用哪种方式?
    用 Hashids 优雅解决 C 端自增 ID 暴露问题
    V8引擎 精品漫游指南--Ignition篇(上) 指令 栈帧 槽位 调用约定 内存布局 基础内容
    LLVM Pass快速入门(四):代码插桩
    milkup:桌面端 markdown AI续写和即时渲染
    基于项目工程构建SBOM(软件物料清单)的研究
    鸿蒙应用开发UI基础第二节:鸿蒙应用程序框架核心解析与实操
    .NET 中如何快速实现 List 集合去重?
    扣子Coze实战:从0到1打造抖音+小红书热点监控智能体
    浅谈数据访问层
  • 热门文章
  • 十款代码表白小特效 一个比一个浪漫 赶紧收藏起来吧!!!
    奉劝各位学弟学妹们,该打造你的技术影响力了!
    五年了,我在 CSDN 的两个一百万。
    Java俄罗斯方块,老程序员花了一个周末,连接中学年代!
    面试官都震惊,你这网络基础可以啊!
    你真的会用百度吗?我不信 — 那些不为人知的搜索引擎语法
    心情不好的时候,用 Python 画棵樱花树送给自己吧
    通宵一晚做出来的一款类似CS的第一人称射击游戏Demo!原来做游戏也不是很难,连憨憨学妹都学会了!
    13 万字 C 语言从入门到精通保姆级教程2021 年版
    10行代码集2000张美女图,Python爬虫120例,再上征途
小工具 小游戏
Copyright © 2022 侵权请联系2656653265@qq.com    京ICP备2022015340号-1

京公网安备 11010502049817号