2022-03-30 11:22:13 +08:00
|
|
|
|
# Spring Core RCE
|
|
|
|
|
|
|
|
|
|
|
|
> 继 Spring Cloud 之后,3.29 日 ,网上爆出Spring 的又一重量级漏洞:Spring Core RCE
|
|
|
|
|
|
|
|
|
|
|
|
## 流传的打码poc
|
2022-04-04 12:40:12 +08:00
|
|
|
|
**目前exp 已上传 ```exp.py```**
|
2022-03-30 11:22:13 +08:00
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
## Spring 官方补丁也正在积极的赶制中
|
2022-03-30 11:51:46 +08:00
|
|
|
|
[Spring 制作中的补丁链接](https://github.com/spring-projects/spring-framework/commit/7f7fb58dd0dae86d22268a4b59ac7c72a6c22529)
|
|
|
|
|
|
|
|
|
|
|
|
## 漏洞影响
|
|
|
|
|
|
1. jdk 版本在9及以上的
|
|
|
|
|
|
2. 使用了Spring Framework或衍生框架
|
|
|
|
|
|
## 漏洞修复建议
|
|
|
|
|
|
目前,Spring 官方暂未发布补丁,建议降低jdk 版本作为临时方案
|
