[CVE-2022-22965] Spring framework RCE via Data Binding on JDK 9+
#Spring4Shell
Spring Core là thành phần cốt lõi của Spring Framework. Đây chính là nền tảng để xây dựng nên các thành phần khác trong hệ sinh thái của Spring Framework như Spring MVC, Spring Boot, Spring WebFlux. Mã khai thác có thể thực thi được với các điều kiện sau:
- JDK 9 hoặc cao hơn
- Apache Tomcat chạy container servlet
- Đóng gói WAR
- Gói phụ thuộc: spring-webmvc hoặc spring-webflux
Nếu ứng dụng được triển khai dưới dạng Spring Boot executable jar file, như mặc định, sẽ không bị ảnh hưởng bởi lỗi bảo mật này.
Phiên bản ảnh hưởng
Spring Framework < 5.2.20 và 5.3.18
| ackage | Affected versions | Patched versions |
| org.springframework.boot:spring-boot-starter-web (Maven) | < 2.5.12 >= 2.6.0, < 2.6.6 | 2.5.12 2.6.6 |
| org.springframework.boot:spring-boot-starter-webflux (Maven) | < 2.5.12 >= 2.6.0, < 2.6.6 | 2.5.12 2.6.6 |
| org.springframework:spring-beans (Maven) | < 5.2.20 >= 5.3.0, < 5.3.18 | 5.2.20 5.3.18 |
| org.springframework:spring-core (Maven) | < 5.2.20 >= 5.3.0, < 5.3.18 | 5.2.20 5.3.18 |
| org.springframework:spring-webflux (Maven) | < 5.2.20 >= 5.3.0, < 5.3.18 | 5.2.20 5.3.18 |
| org.springframework:spring-webmvc (Maven) | < 5.2.20 >= 5.3.0, < 5.3.18 | 5.2.20 5.3.18 |
Giảm thiểu rủi ro:
Cập nhật đến phiên bản:
Spring Framework 5.3.18 và 5.2.20
Spring Boot 2.6.6 và 2.5.12
Workarounds:
Nếu ứng dụng không thể cập nhật bản vá mới nhất, lập trình viên có thể làm theo hướng dẫn workaround tại https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#suggested-workarounds
PoC
Một số mã khai thác đã được tìm thấy trên internet, BlueTeam đang tiến hành kiểm tra log phát hiện Attacker đang dò quét cho lỗ hổng này trên tất cả hạ tầng của công ty
Tham khảo:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://tanzu.vmware.com/security/cve-2022-22965