网传Spring爆出更大漏洞？别再炒作了…

Posted 2022-04-01 黑马程序员官方

之前刚刚过去的log4j2漏洞还历历在目，这次来了个更大的……

云舒老大在29日发微博称，出了个超级大漏洞。有吃瓜群众就问：“这个瓜有 log4j2 那么好吃吗？”

云舒大佬的回复是：“更大”。

​
之后，又有安全大佬sunwear给了一些更细节的信息：

​
所以漏洞影响范围，可以缩小到使用Java 9+和Spring的项目上了。

评论区很多网友感叹“它生任它生，我用 Java8”是永恒的真理！

​可以明确的是，Spring 这次漏洞和 Log4j2 那次相比，只能说是小巫见大巫，不一个重量级哈。

这次的 Spring 的漏洞也是再次提醒我们：“千万不要随意升级 JDK 版本啊”！

正在紧急修复？Spring核心开发者澄清：

从 Spring 项目的 Git 提交记录来看，在漏洞消息疯传的同时， Spring 开发者似乎在紧急处理漏洞相关的代码，比如 3 月 29日的新提交：弃用 SerializationUtils#deserialize 。

在这个敏感的时间点，该提交引了一些紧张情绪，很多用户在该提交下面留言，询问该提交的代码改动是否与网传的 0day RCE 漏洞相关？而 Spring 核心开发者之一 sbrannen 对此作出澄清：

谨防被骗，炒作！

如果确实存在，那么这个 Spring 框架 RCE 漏洞的影响将远超此前的 Log4j 或 Heartbleed ，但已经过去了一整天，也没有看到谁能真正复现此漏洞。

目前为数不多的详细 PoC 还是故意先按 Spring 文档明确反对的用法引入易受攻击的代码，再进行漏洞攻击 …而据郑州网络安全协会报道，甚至还有人打着 Poc 的幌子钓鱼…

截至发稿时间，Spring 团队没有对该漏洞发表任何官方公告。

官方博客的最新漏洞公告是 CVE-2022-22963：Spring 表达式资源访问漏洞 和 CVE-2022-22950：Spring 表达式 DoS 漏洞 ，但这两个漏洞的严重程度都是中等，无法与网传 Spring 核心框架的 RCE 高危程度相比。

你用的是Java的什么版本呢？欢迎大家一起聊聊。

参考：https://weibo.com/ttarticle/p/show?id=2309404753083396653175