Spring Framework 远程代码执行漏洞预警（CVE-2022-22965）

2022-03-31

一、概要

3月31日，华为云关注到Spring官方发布安全公告，披露Spring Framework存在缺陷，导致运行在JDK 9及以上版本的环境上存在一处远程代码执行漏洞（CVE-2022-22965）。攻击者利用漏洞可实现远程任意文件写入，最终导致任意代码执行，利用难度低。目前漏洞POC/EXP已公开，风险较高。

Spring Framework是一款开源的轻量级J2EE应用程序开发框架，为解决企业应用开发的复杂性而提供的解决方案。华为云提醒使用Spring Framework的用户尽快安排自检并做好安全加固。

参考链接：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://www.cnvd.org.cn/webinfo/show/7541?spm=a2c4g.11174386.n2.4.acfa4c072aP8GB

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Spring Framework 5.3.x < 5.3.18

Spring Framework 5.2.x < 5.2.20

其他Spring Framework低版本均有可能受影响

安全版本：

Spring Framework 5.3.18

Spring Framework 5.2.20

漏洞触发条件：

使用是Spring 框架或衍生框架并且运行在JDK9及以上版本的环境上

目前已知的漏洞攻击场景如下，不确保后续会有其他攻击场景，建议用户参考上述漏洞触发条件进行排查。

1. 使用 JDK9 及以上版本

2. Apache Tomcat 作为 Servlet 容器

3. 打包为 WAR

4. 使用 spring-webmvc 或 spring-webflux 的依赖

四、漏洞处置

目前官方已发布安全版本，建议受影响的用户升级Spring Framework至安全版本：

https://github.com/spring-projects/spring-framework/tags

注：修复漏洞前请将资料备份，并进行充分测试。

华为云安全持续监测此漏洞及其变种攻击，有使用如下华为云安全服务的用户可开启防护功能：

华为云WAF具备对该漏洞目前已知攻击特征的检测与防御能力，标准版及以上规格可满足，支持局点有：北京一、北京四、乌兰察布一、上海一、上海二、广州、广州友好、贵阳一、香港、曼谷、新加坡、约翰内斯堡、墨西哥一、墨西哥二、圣保罗一、圣地亚哥。开通成功后将“Web基础防护”状态设置为“拦截”模式即可，具体方法请参见配置Web基础防护规则。

华为云漏扫服务VSS能够检测网站是否存在该漏洞。华为云VSS用户可以在VSS控制台，资产列表->网站->新增域名，启动扫描，等待任务结束，查看扫描报告即可。具体参见用户指南。