高危漏洞的曝光总是发生在意想不到的时刻:周末所有人都准备享受周末的时间,Spring Boot框架的SpEL表达式注入通用漏洞曝光,利用该漏洞,远程攻击者在服务器上可执行任意命令――该漏洞影响Spring Boot版本从1.1-1.3.0,建议在使用存在此缺陷版本Spring Boot的企业立即将之升级至1.3.1或以上版本。
spring boot框架表达式注入漏洞
具体的漏洞预警报告如下:
影响范围:Spring Boot版本1.1-1.3.0
修复方案:升级Spring Boot版本至1.3.1或以上版本
Spring Boot是什么
Spring是2003年兴起的轻量级Java开发框架。任何Java应用都可以使用该框架的核心特性,在Java EE平台之上有可用于构建Web应用的扩展。
而这里的Spring Boot则是Spring框架的一个核心子项目,是为构建独立、生产级Spring应用的约定优于配置(convention-over-configuration)解决方案。绝大部分Spring Boot应用都只需要极少的Spring配置即可。
Spring Boot能够大大提升使用Spring框架时的开发效率,于是国内很多企业在用它。国内包括百度、阿里巴巴、腾讯等诸多知名企业都在使用该框架。
Spring Boot 框架表达式注入漏洞发现背景
近期TangScan在对客户进行日常安全巡检的过程中发现一个客户的表达式注入导致的命令执行漏洞。通过园长表哥的分析,确定是Spring Boot的SPEL表达式注入通用漏洞。Spring Boot是Spring 的一个核心子项目,目前国内BAT均在使用。本次漏洞分析感谢@园长 表哥的大力支持。
原文发布时间:2017年3月24日
本文由:安全加 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/spring-boot-frame-injection-vulnerability
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
