Spring框架再爆漏洞:資料繫結規則漏洞CVE-2022-22968
屋漏偏逢連夜雨,Bug越修越多:
在Spring Framework 5.3.0 - 5.3.18, 5.2.0 - 5.2.20版本,以及更早的版本中,DataBinder上disallowedFields的模式是大小寫敏感的,這意味著除非欄位的第一個字元同時以大寫和小寫列出,包括屬性路徑中所有巢狀欄位的第一個字元的大寫和小寫,否則欄位不會被有效保護。
受影響版本的使用者應採用以下緩解措施:
5.3.x使用者應升級到5.3.19+。
5.2.x使用者應該升級到5.2.21+。
應用程式也應該審查他們的DataBinder配置和更廣泛的資料繫結方法。
Spring官方回覆:
在修復Spring框架RCE漏洞CVE-2022-22965(上一個RCE嚴重漏洞)和建議的解決方法時,我們已經意識到WebDataBinder上的disallowedFields配置設定並不直觀,也沒有明確的文件。我們已經修復了這個問題,但也決定從安全的角度出發,公佈一個後續的CVE,以確保應用程式開發人員得到提醒,並有機會審查他們的配置。
相關文章
- Spring框架爆安全漏洞Spring框架
- Rails框架再爆嚴重安全漏洞AI框架
- JavaScript this 繫結規則JavaScript
- JS中this的繫結規則JS
- JavaScript中this的繫結規則JavaScript
- Java又爆致命漏洞Java
- JS中this的4種繫結規則JS
- Java 7.x爆高危漏洞Java
- 前端三大框架:資料繫結與資料流前端框架
- .net core Web API引數繫結規則WebAPI
- [系列] Gin框架 - 資料繫結和驗證框架
- Android資料繫結框架DataBinding用法Android框架
- 如何妙用Spring 資料繫結機制?Spring
- 【漏洞】OA辦公系統“烽火狼煙”,高危漏洞攻擊爆發
- DAST 黑盒漏洞掃描器 第二篇:規則篇AST
- 事件繫結和樣式規定的原則事件
- 基於JDK9的Spring核心爆RCE 0-day漏洞 - CyberJDKSpring
- 最新漏洞:Spring Framework遠端程式碼執行漏洞SpringFramework
- 利用微軟DNS漏洞程式碼現身 恐爆發大規模攻擊微軟DNS
- 前端框架VUE——資料繫結及模板語法前端框架Vue
- 如何實現VM框架中的資料繫結框架
- Rails 3爆SQL隱碼攻擊漏洞AISQL
- 解析漏洞總結
- DataCube 漏洞小結
- 資料繫結
- Spring Framework 安全漏洞SpringFramework
- 騰訊安全:微軟再爆高危漏洞,騰訊御點強勢攔截針對性攻擊微軟
- 再爆安全漏洞,這次輪到Jackson了,竟由阿里雲上報阿里
- 以太坊再爆高危漏洞!駭客增發ATN 1100萬枚token事件始末事件
- 簡單資料繫結和複雜資料繫結
- Oracle資料庫高危漏洞警告!Oracle資料庫
- 我們都會知道的Javascript:this的繫結規則JavaScript
- SQL SERVER 規則的建立、繫結、解綁、刪除SQLServer
- Web 安全恩仇錄:再談邏輯漏洞Web
- tomcat漏洞總結Tomcat
- 資料繫結原理
- 開源漏洞檢測框架收集框架
- 網傳的Spring大漏洞Spring