IT技术互动交流平台

关于Spring Boot框架存在SPEL表达式注入漏洞的安全公告

作者:佚名  发布日期:2016-07-20 22:42:48

安全公告编号:CNTA-2016-0031
近日,国家信息安全漏洞共享平台(CNVD)收录了Spring Boot框架存在的SPEL表达式注入漏洞(CNVD-2016-04742)。远程攻击者利用漏洞可在服务器端执行相关指令或代码,有可能远程渗透控制网站服务器。由于该应用框架使用范围广泛,构成较高的安全威胁。
一、漏洞情况分析
Spring是一款轻量级Java开发框架。Spring Boot是Spring 的一个核心子项目,其设计目的是用于简化新Spring应用的初始搭建以及开发过程。
由于SpelView类中的exactMatch参数未严格过滤,Spring Boot framework 对异常处理不当在同时开启whitelabel page,会造成异常请求中注入SPEL执行。当用户采用Spring Boot启动Spring MVC项目后,Spring Boot默认异常模板在处理异常信息时,会递归解析SPEL表达式,可导致SPEL表达式注入并执行。攻击者利用此漏洞,通过SPEL即可在服务器端实现指令注入(执行代码)。
CNVD对该漏洞的综合评级为“高危”。
二、漏洞影响范围
漏洞影响Spring Boot 1.1-1.3.0版本,使用上述版本框架构建的网站可能受漏洞影响。
三、漏洞修复建议
目前,互联网上已披露了该漏洞的利用代码。近期,WOOYUN网站提交者唐朝实验室也提交了对于漏洞的详细说明,并将于约90天后公开。厂商已发布了升级程序修复该漏洞,CNVD建议用户将程序升级至Spring Boot 1.3.1及以上版本。更新地址:
https://github.com/spring-projects/spring-boot/commit/edb16a13ee33e62b046730a47843cb5dc92054e6
 

Tag标签: 表达式   漏洞   框架  
  • 专题推荐

About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规