描述

在 JDK 9+ 上執行的 Spring MVC 或 Spring WebFlux 應用程式可能容易受到透過資料綁定進行遠端程式碼執行 (RCE) 的攻擊。 具體的漏洞利用需要應用程式以 WAR 部署的形式在 Tomcat 上執行。 如果應用程式以 Spring Boot 可執行 jar 部署（即預設值），則不會受到此漏洞利用的影響。 然而，此漏洞的本質更具普遍性，並且可能存在其他利用方式。

以下是漏洞利用的先決條件

• JDK 9 或更高版本
• Apache Tomcat 作為 Servlet 容器
• 封裝為 WAR
• spring-webmvc 或 spring-webflux 依賴

受影響的 Spring 產品和版本

• Spring Framework
  • 5.3.0 至 5.3.17
  • 5.2.0 至 5.2.19
  • 較舊且不受支援的版本也受到影響

緩解措施

受影響版本的用戶應採取以下緩解措施： 5.3.x 用戶應升級至 5.3.18+，5.2.x 用戶應升級至 5.2.20+。 不需要其他步驟。 對於無法升級到上述版本的應用程式，還有其他緩解步驟。 這些步驟已在資源部分下列出的早期公告部落格文章中說明。 修復此問題的版本包括

• Spring Framework
  • 5.3.18+
  • 5.2.20+

信用

此漏洞由 codeplutos、螞蟻集團 FG 安全實驗室的 meizjm3i 負責地向 VMware 報告。 此外，也收到來自 Praetorian 的第二份報告。

參考資料

• https://spring.dev.org.tw/blog/2022/03/31/spring-framework-rce-early-announcement
• https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

歷史記錄

• 2022-03-31：發佈初始漏洞報告。