西电网安：YJ-2022-040201

【漏洞等级】：高危

【漏洞描述】

近日，监测发现Java Spring框架存在远程代码执行漏洞。Spring是一款主流的Java EE轻量级开源框架，为JavaEE应用提供多方面的解决方案，用于简化企业级应用的开发。攻击者利用该漏洞，可在未授权的情况下远程执行代码，获取服务控制权，向目标服务器发送精心构造的恶意数据，导致服务器被黑客控制，从而进行页面篡改、数据窃取、挖矿、勒索等行为。

【影响范围】

【漏洞排查方案】

（一）JDK版本号排查：

若JDK版本号≤8，则不受影响。

（二）Spring框架使用情况排查：

1.若业务系统项目以war 包形式部署，按照如下步骤判断。

■ 解压war 包：将war 文件的后缀修改成.zip ,解压zip 文件。

■ 在解压缩目录下搜索是否存在spring-beans-*.jar 格式的jar 文件,如存在则说明业务系统使用了spring 框架进行开发。

■ 如果spring-beans-*.jar 文件不存在，则在解压缩目录下搜索CachedIntrospectionResuLts.class 文件是否存在，如存在则说明业务系统使用了Spring 框架进行开发。

2.如果业务系统项目以jar 包形式直接独立运行，按照如下步骤进行判断。

■ 解压jar 包：将jar 文件的后缀修改成.zip,解压zip 文件。

■ 在解压缩目录下搜索是否存在spring-beans-*.jar 格式的jar 文件（如spring-beans-5.3.16.jar）,如存在则说明业务系统使用了spring 框架进行开发。

■ 如果spring-beans-*.jar 文件不存在，则在解压缩目录下搜索CachedIntrospectionResuLts.class 文件是否存在，如存在则说明业务系统使用了spring 框架进行开发。

【修复建议】

当前漏洞POC已被公开，Spring官方已发布安全版本修复漏洞，请受影响的用户及时更新至最新版本，下载地址：https://github.com/spring-projects/spring-framework/releases

由于该漏洞影响范围极广，潜在危害程度较高，请各单位高度重视，尽快全面梳理排查本单位Spring Framework使用情况及资产受影响情况，在确保安全的情况下及时修补漏洞，消除安全隐患，提高安全防范能力。