Spring Framework 远程代码执行漏洞预警（CVE-2022-22965）

2022-03-31

一、概要

3月31日，华为云关注到Spring官方发布安全公告，披露Spring Framework存在缺陷，导致运行在JDK 9及以上版本的环境上存在一处远程代码执行漏洞（CVE-2022-22965）。攻击者利用漏洞可实现远程任意文件写入，最终导致任意代码执行，利用难度低。目前漏洞POC/EXP已公开，风险较高。

Spring Framework是一款开源的轻量级J2EE应用程序开发框架，为解决企业应用开发的复杂性而提供的解决方案。华为云提醒使用Spring Framework的用户尽快安排自检并做好安全加固。

参考链接：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://www.cnvd.org.cn/webinfo/show/7541?spm=a2c4g.11174386.n2.4.acfa4c072aP8GB

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Spring Framework 5.3.x < 5.3.18

Spring Framework 5.2.x < 5.2.20

其他Spring Framework低版本均有可能受影响

安全版本：

Spring Framework 5.3.18

Spring Framework 5.2.20

漏洞触发条件：

使用Spring 框架或衍生框架并且运行在JDK9及以上版本的环境上

目前已知的漏洞攻击场景如下，不确保后续会有其他攻击场景，建议用户参考上述漏洞触发条件进行排查。

1. 使用 JDK9 及以上版本

2. Apache Tomcat 作为 Servlet 容器

3. 打包为 WAR

4. 使用 spring-webmvc 或 spring-webflux 的依赖

四、漏洞处置

目前官方已发布安全版本，建议受影响的用户升级Spring Framework至安全版本：

https://github.com/spring-projects/spring-framework/tags

华为云WAF具备对该漏洞目前已知攻击特征的防御能力。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则。

注：修复漏洞前请将资料备份，并进行充分测试。