安全公告号:CNTA-2016-0031
最近,国家信息安全漏洞共享平台(CNVD)在SpringBoot框架中包括了SPEL表达式注入漏洞(CNVD-2016-04742)。远程攻击者可以利用此漏洞在服务器端执行相关指令或代码,并且可以远程渗透和控制网站服务器。由于应用程序框架被广泛使用,因此构成了高度的安全威胁。
1.漏洞分析
Spring是一个轻量级的Java开发框架。SpringBoot是Spring的核心子项目。它的设计目的是简化新的Spring应用程序的初始构建和开发过程。
由于未严格过滤SpelView类中的精确匹配参数,因此SpringBoot框架会同时打开whitelabel页面以进行异常处理,这将导致SPEL执行被注入到异常请求中。当用户使用SpringBoot启动SpringMVC项目时,SpringBoot的默认异常模板将在处理异常信息时递归解析SPEL表达式,这可能导致SPEL表达式注入和执行。攻击者利用此漏洞通过SPEL在服务器端实现指令注入(执行代码)。
CNVD对漏洞的综合评价为“高风险”。
2,漏洞范围
该漏洞影响SpringBoot版本1.1-1.3.0。使用上述版本框架构建的网站可能会受到此漏洞的影响。
3.错误修复建议
当前,该漏洞的利用代码已在Internet上公开。最近,WOOYUN网站的提交者TangChaoLab也提交了有关此漏洞的详细说明,该说明将在90天内发布。制造商已经发布了一个升级程序来修复漏洞,CNVD建议用户将程序升级到SpringBoot1.3.1及更高版本。更新地址:
https://github.com/spring-projects/spring-boot/commit/edb16a13ee33e62b046730a47843cb5dc92054e6
标签:漏洞