漏洞预警:Spring Boot框架表达式注入漏洞

高危漏洞的曝光总是发生在意想不到的时刻:周末所有人都准备享受周末的时间,Spring Boot框架的SpEL表达式注入通用漏洞曝光,利用该漏洞,远程攻击者在服务器上可执行任意命令——该漏洞影响Spring Boot版本从1.1-1.3.0,建议在使用存在此缺陷版本Spring Boot的企业立即将之升级至1.3.1或以上版本。

具体的漏洞预警报告如下:

影响范围:Spring Boot版本1.1-1.3.0

修复方案:升级Spring Boot版本至1.3.1或以上版本

Spring是2003年兴起的轻量级Java开发框架。任何Java应用都可以使用该框架的核心特性,在Java EE平台之上有可用于构建Web应用的扩展。

而这里的Spring Boot则是Spring框架的一个核心子项目,是为构建独立、生产级Spring应用的约定优于配置(convention-over-configuration)解决方案。绝大部分Spring Boot应用都只需要极少的Spring配置即可。

Spring Boot能够大大提升使用Spring框架时的开发效率,于是国内很多企业在用它。国内包括百度、阿里巴巴、腾讯等诸多知名企业都在使用该框架。

FreeBuf将持续跟踪报道该漏洞细节及后续动态,请关注。

目前网藤风险感知系统已支持该漏洞检测。您可以免费申请试用网藤漏洞感知服务。

====================================分割线================================

本文转自d1net(转载)

时间: 2024-09-28 12:16:16

漏洞预警:Spring Boot框架表达式注入漏洞的相关文章

深入Spring Boot:那些注入不了的Spring占位符(${}表达式)

Spring里的占位符 spring里的占位符通常表现的形式是: <bean id="dataSource" destroy-method="close" class="org.apache.commons.dbcp.BasicDataSource"> <property name="url" value="${jdbc.url}"/> </bean> 或者 @Confi

漏洞预警:MySQL代码执行0-day漏洞 可本地提权

来自波兰的安全研究人员Dawid Golunski刚刚发现了两个MySQL的0-day漏洞,影响到所有版本分支.默认配置的MySQL服务器(5.7.5.6和5.5),包括最新版本.攻击者可以远程和本地利用漏洞.攻击者成功利用漏洞后,可以ROOT权限执行代码,完全控制MySQL数据库.攻击者仅需有FILE权限即可实现ROOT提权,进而控制服务器. 漏洞编号: CVE-2016-6662与CVE-2016-6663 漏洞影响: MySQL <= 5.7.15 远程代码执行/ 提权 (0day) 5.

漏洞预警!微软曝光震网三代漏洞,隔离网面临重大危机

北京时间6月14日,本月的微软补丁今天发布,经过360安全专家研判确认以下两个漏洞需要引起高度重视,采取紧急处置: LNK文件远程代码执行漏洞(CVE-2017-8464)和Windows搜索远程命令执行漏洞(CVE-2017-8543). 根据微软最新公告,LNK文件远程代码执行漏洞(CVE-2017-8464)已经发现了在野利用且具有国家背景,黑客可以通过U盘.光盘.网络共享等途径触发漏洞,完全控制用户系统,对基础设施等隔离网极具杀伤力,危害堪比前两代震网攻击. 该漏洞是一个微软Window

漏洞预警:WordPress 储存型 XSS 漏洞

2017年10月19日,WordPress 官方发布了一条安全通告表示在4.8.1版本中发现了一个存储型的XSS漏洞,通过该漏洞,攻击者可以在受影响网站的评论区写下包含恶意代码的留言,当该留言页面被打开时,其中的恶意代码会执行,导致该网站的权限,插件等被更改,甚至被完全控制,安全风险为高危. 目前WordPress是全球装机量比较大的CMS系统,建议站长们关注,并尽快开展自查工作,及时更新到最新版WordPress. 漏洞利用条件和方式: 远程利用 PoC状态 目前PoC已经公开 漏洞影响范围:

漏洞预警 GNU Bash 本地命令执行漏洞

近期历史悠久的 GNU Bash 爆出了一个高危漏洞,Bash < 4.4 版本存在安全漏洞,通过构造的 SHELLOPTS.PS4 环境变量,本地用户利用此漏洞可用 root 权限执行任意命令. 官方 CVSS V3 评级为 High,属于高危漏洞,预测当前 90% 以上的 Linux 用户都会受到影响. http://www.openwall.com/lists/oss-security/2016/09/26/9 小编测试了一下,100% 命中: 文章转载自 开源中国社区 [http://w

微框架Spring Boot详解

Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新 Spring应用的初始搭建以及开发过程.该框架使用了特定的方式来进行配置,从 而使开发人员不再需要定义样板化的配置.通过这种方式,Boot致力于在蓬勃发 展的快速应用开发领域(rapid application development)成为领导者. 多年以来,Spring IO平台饱受非议的一点就是大量的XML配置以及复杂的依赖 管理.在去年的SpringOne 2GX会议上,Pivotal的CTO Adrian

绿盟科技网络安全威胁周报2017.20 关注Joomla!3.7.0 SQL注入漏洞CVE-2017-8917

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-20,绿盟科技漏洞库本周新增36条,其中高危3条.本次周报建议大家关注 Joomla!3.7.0 SQL注入漏洞 .目前厂商已经发布了升级补丁以修复这个安全问题,请到用户及时到厂商主页下载升级补丁,修复此漏洞. 焦点漏洞 Joomla!3.7.0 SQL注入漏洞 NSFOCUS ID 36720 CVE ID CVE-2017-8917 受影响版本 Joomla! CMS versions 3.7.0 漏洞点评 Joomla是一套世界流行

在Spring Boot项目中使用Spock框架

Spock框架是基于Groovy语言的测试框架,Groovy与Java具备良好的互操作性,因此可以在Spring Boot项目中使用该框架写优雅.高效以及DSL化的测试用例.Spock通过@RunWith注解与JUnit框架协同使用,另外,Spock也可以和Mockito(Spring Boot应用的测试--Mockito)协同使用. 在这个小节中我们会利用Spock.Mockito一起编写一些测试用例(包括对Controller的测试和对Repository的测试),感受下Spock的使用.

使用Spring Boot日志框架在已有的微服务代码中添加日志功能

引言:我们需要在已有的微服务代码中添加日志功能,用于输出需要关注的内容,这是最平常的技术需求了.由于我们的微服务代码是基于SpringBoot开发的,那么问题就转换为如何在Spring Boot应用程序中输出相应的日志. 在传统Java应用程序中,我们一般会使用类似Log4j这样的日志框架来输出日志,而不是直接在代码中通过System.out.println()来输出日志.为什么要这么做呢?原因有两点.其一,我们希望日志能输出到文件中,而不是输出到应用程序的控制台中,这样更加容易收集和分析.其二