Spring框架再爆漏洞:資料繫結規則漏洞CVE-2022-22968
屋漏偏逢連夜雨,Bug越修越多:
在Spring Framework 5.3.0 - 5.3.18, 5.2.0 - 5.2.20版本,以及更早的版本中,DataBinder上disallowedFields的模式是大小寫敏感的,這意味著除非欄位的第一個字元同時以大寫和小寫列出,包括屬性路徑中所有巢狀欄位的第一個字元的大寫和小寫,否則欄位不會被有效保護。
受影響版本的使用者應採用以下緩解措施:
5.3.x使用者應升級到5.3.19+。
5.2.x使用者應該升級到5.2.21+。
應用程式也應該審查他們的DataBinder配置和更廣泛的資料繫結方法。
Spring官方回覆:
在修復Spring框架RCE漏洞CVE-2022-22965(上一個RCE嚴重漏洞)和建議的解決方法時,我們已經意識到WebDataBinder上的disallowedFields配置設定並不直觀,也沒有明確的文件。我們已經修復了這個問題,但也決定從安全的角度出發,公佈一個後續的CVE,以確保應用程式開發人員得到提醒,並有機會審查他們的配置。
相關文章
- JavaScript this 繫結規則JavaScript
- JS中this的繫結規則JS
- JavaScript中this的繫結規則JavaScript
- JS中this的4種繫結規則JS
- 如何妙用Spring 資料繫結機制?Spring
- 前端三大框架:資料繫結與資料流前端框架
- .net core Web API引數繫結規則WebAPI
- [系列] Gin框架 - 資料繫結和驗證框架
- 事件繫結和樣式規定的原則事件
- 如何實現VM框架中的資料繫結框架
- 前端框架VUE——資料繫結及模板語法前端框架Vue
- DAST 黑盒漏洞掃描器 第二篇:規則篇AST
- 資料繫結
- 再探Stagefright漏洞——POC與EXP
- 以太坊再爆高危漏洞!駭客增發ATN 1100萬枚token事件始末事件
- 再爆安全漏洞,這次輪到Jackson了,竟由阿里雲上報阿里
- 最新漏洞:Spring Framework遠端程式碼執行漏洞SpringFramework
- 基於JDK9的Spring核心爆RCE 0-day漏洞 - CyberJDKSpring
- 我們都會知道的Javascript:this的繫結規則JavaScript
- 【漏洞】OA辦公系統“烽火狼煙”,高危漏洞攻擊爆發
- 警惕!繼Apache Log4j2漏洞後,Logback又爆新漏洞Apache
- 解析漏洞總結
- DataCube 漏洞小結
- tomcat漏洞總結Tomcat
- 網傳的Spring大漏洞Spring
- Oracle盲注結合XXE漏洞遠端獲取資料Oracle
- 第二講、Vue3.x繫結資料、繫結html、繫結屬性、迴圈資料VueHTML
- Web 安全恩仇錄:再談邏輯漏洞Web
- 開源漏洞檢測框架收集框架
- 重要通知|綠盟NIPS釋出CVE-2019-0708漏洞防護規則
- SpringMVC資料繫結demoSpringMVC
- Angular | 理解資料繫結Angular
- Binding(一):資料繫結
- 3. 檔案上傳漏洞——漏洞總結筆記筆記
- Go Web輕量級框架Gin學習系列:資料繫結GoWeb框架
- Spring爆出“核彈”級高危漏洞Spring
- 資料庫安全-ElasticSearch漏洞復現資料庫Elasticsearch
- CVE-2021-44521:Apache Cassandra爆發RCE漏洞Apache