情資內容

一、漏洞說明[1]： Spring框架存在漏洞，使攻擊者可自遠端執行任意代碼。此漏洞與日前 Spring 官方所發布之漏洞(CVE-2022-22963 Spring Expression Resource Access Vulnerability)不同，請單位注意。 二、已揭露攻擊程式碼說明[2][3]： GitHub、paloalto 已有關於此漏洞之攻擊程式碼。 三、影響平台： 若同時符合以下條件，則可能受到漏洞影響： 1.使用 JDK9及以上版本 2.使用 Apache Tomcat 作為Servlet容器 3.以war方式進行部屬 4.使用spring-webmvc或spring-webflux框架 5.使用Spring Framework版本5.3.0至5.3.17、5.2.0至5.2.19，及更舊的版本 四、CVSS向量：CVE-2022-22965[4] 使用版本：CVSS 3.0 分析分數：9.8 影響等級:3 參考來源 vmware 五、建議措施： 1.依Spring官方建議更新 Spring Framework 至 5.3.18 或 5.2.20。 2.若無法即時修補，可評估進行以下緩解措施： (1)評估於網頁應用防火牆(WAF) 置入規則過濾字串以阻擋，字串如下："class.*"、"Class.*"、"*.class.*"、"*.Class.*" (2)參考Spring官方說明Suggested Workarounds章節[1]，修改程式碼並重新編譯應用程式。 六、參考資訊： 1.Spring https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement 2.GitHub https://github.com/tweedge/springcore-0day-en 3.paloalto https://unit42.paloaltonetworks.com/cve-2022-22965-springshell/ 4.vmware https://tanzu.vmware.com/security/cve-2022-22965 5.奧義智慧 建議措施： 參考資料： 影響平台：