2022年3月30日,國家信息安全漏洞共享平臺(CNVD)接收到螞蟻科技集團股份有限公司報送的Spring框架遠程命令執行漏洞。由于Spring框架存在處理流程缺陷,攻擊者可在遠程條件下,實現對目標主機的后門文件寫入和配置修改,繼而通過后門文件訪問獲得目標主機權限。使用Spring框架或衍生框架構建網站等應用,且同時使用JDK版本在9及以上版本的,易受此漏洞攻擊影響。
CNVD對該漏洞的綜合評級為“高危”。
目前,Spring官方已發布新版本完成漏洞修復,CNVD建議受漏洞影響的產品(服務)廠商和信息系統運營者盡快進行自查,并及時升級至最新版本。
CNVD特別感謝了螞蟻科技集團股份有限公司為報告提供的技術支持,同時感謝奇安信科技集團股份有限公司、杭州安恒信息技術股份有限公司、安天科技集團股份有限公司、三六零數字安全科技集團有限公司、北京天融信網絡安全技術有限公司。
責任編輯:Rex_08
營業執照公示信息