#Spring4Shell

Spring Core là thành phần cốt lõi của Spring Framework. Đây chính là nền tảng để xây dựng nên các thành phần khác trong hệ sinh thái của Spring Framework như Spring MVC, Spring Boot, Spring WebFlux. Mã khai thác có thể thực thi được với các điều kiện sau:

JDK 9 hoặc cao hơn
Apache Tomcat chạy container servlet
Đóng gói WAR
Gói phụ thuộc: spring-webmvc hoặc spring-webflux

Nếu ứng dụng được triển khai dưới dạng Spring Boot executable jar file, như mặc định, sẽ không bị ảnh hưởng bởi lỗi bảo mật này.

Phiên bản ảnh hưởng
Spring Framework < 5.2.20 và 5.3.18

ackage

Affected versions

Patched versions

org.springframework.boot:spring-boot-starter-web (Maven)

< 2.5.12

>= 2.6.0, < 2.6.6

2.5.12

2.6.6

org.springframework.boot:spring-boot-starter-webflux (Maven)

< 2.5.12

>= 2.6.0, < 2.6.6

2.5.12

2.6.6

org.springframework:spring-beans (Maven)

< 5.2.20

>= 5.3.0, < 5.3.18

5.2.20

5.3.18

org.springframework:spring-core (Maven)

< 5.2.20

>= 5.3.0, < 5.3.18

5.2.20

5.3.18

org.springframework:spring-webflux (Maven)

< 5.2.20

>= 5.3.0, < 5.3.18

5.2.20

5.3.18

org.springframework:spring-webmvc (Maven)

< 5.2.20

>= 5.3.0, < 5.3.18

5.2.20

5.3.18

Giảm thiểu rủi ro:
Cập nhật đến phiên bản:

Spring Framework 5.3.18 và 5.2.20
Spring Boot 2.6.6 và 2.5.12
Workarounds:

Nếu ứng dụng không thể cập nhật bản vá mới nhất, lập trình viên có thể làm theo hướng dẫn workaround tại https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#suggested-workarounds

PoC
Một số mã khai thác đã được tìm thấy trên internet, BlueTeam đang tiến hành kiểm tra log phát hiện Attacker đang dò quét cho lỗ hổng này trên tất cả hạ tầng của công ty

Tham khảo:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://tanzu.vmware.com/security/cve-2022-22965

[CVE-2022-22965] Spring framework RCE via Data Binding on JDK 9+