漏洞名称：Spring RCE 0day漏洞

漏洞等级：高危

披露时间：2022/3/29

TAG：Spring框架、0day漏洞

漏洞危害：攻击者可利用该漏洞进行远程控制服务器、植入恶意程序、 篡改页面等操作。

漏洞概述

3月29日，Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制，可导致远程代码执行 (RCE)，使用JDK9及以上版本皆有可能受到影响。

作为目前全球最受欢迎的Java轻量级开源框架，Spring允许开发人员专注于业务逻辑，简化Java企业级应用的开发周期。

但在Spring框架的JDK9版本（及以上版本）中，远程攻击者可在满足特定条件的基础上，通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值，从而触发pipeline机制并 写入任意路径下的文件。

目前已知，触发该漏洞需要满足两个基本条件：

使用JDK9及以上版本的Spring MVC框架

Spring框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class

 影响版本

JDK9 <= Spring Cloud Function

执行“java-version”命令可查看JDK版本

 安全版本

JDK9>Spring Cloud Function

 安全建议

目前，Spring 官方无官方补丁，建议采用以下两个临时方案进行防护，并及时关注官方补丁发布情况，按官方补丁修复漏洞。

• WAF 防护

在 WAF 等网络防护设备上，根据实际部署业务的流量情况， 实现对

“class.*”，“Class.*”，“*.class.*”，“*.Class.*”

等字符串的规则过滤，并在部署过滤规则后，对业务运行情况进行测试，避免产生额外影响。

• 临时修复措施

需同时按以下两个步骤进行漏洞的临时修复：

（1）在应用中全局搜索@InitBinder注解，看看方法体内是否调用dataBinder.setDisallowedFields方法，如果发现此代码片段的引入，则在原来的黑名单中，添加{“class.”,”Class. <em>“,”. class.</em>”, “.Class.”}。(注:如果此代码片段使用较多,需要每个地方都追加)

（2）在应用系统的项目包下新建以下全局类，并保证这个类被Spring加载到(推荐在Controller 所在的包中添加).完成类添加后，需对项目进行重新编译打包和功能验证测试，并重新发布项目。

import org.springframework.core.annotation.Order;

import org.springframework.web.bind.WebDataBinder;

import org.springframework.web.bind.annotation.ControllerAdvice;

import org.springframework.web.bind.annotation.InitBinder;

@ControllerAdvice

@Order(10000)

public class GlobalControllerAdvice{<!– –>

@InitBinder

public void setAllowedFields(webdataBinder dataBinder){<!– –>

String[]abd=new string[]{<!– –>”class.*”,”Class.*”,”*.class.*”,”*.Class.*”};

dataBinder.setDisallowedFields(abd);

}

 说明

经排查青云云平台不受该漏洞影响，可放心使用。