所以 Spring 的 0day RCE 漏洞被证实了？

2022 年 3 月 31 日

blindpirate

3304 次点击

所在节点

11 条回复

eviladan0s

2022 年 3 月 31 日

漏洞的确存在，没 log4j2 影响大

chendy

2022 年 3 月 31 日

修复补丁还没发，就把漏洞 poc 到处传播的人我觉得是真的缺德……

git00ll

2022 年 3 月 31 日

试了一下使用 springboot 似乎么有问题

sagaxu

2022 年 4 月 1 日

三个条件
1. java 9+
2. tomcat + war 包
3. 实用了 mvc 或 webflux

能升 java 9+的，大概也不用 war 包部署了

interim

2022 年 4 月 1 日

@sagaxu 如果按你所说的，感觉这个漏洞基本上没有利用价值....

mrochcnnnnn

2022 年 4 月 1 日

集团已发邮件让重视

yedanten

2022 年 4 月 1 日

@sagaxu 漏洞其实只要符合第一点就可以，tomcat 是改日志的配置项直接添加个规则写 shell 方便，是存在其他利用链的。

INCerry

2022 年 4 月 1 日

war 包只是拿 shell 方便，感觉 jar 包也有其它方式拿 shell

sagaxu

2022 年 4 月 1 日

@yedanten 没用 spring mvc 也行吗?

yedanten

2022 年 4 月 2 日

@sagaxu 行，漏洞位于 spring framework 。

sagaxu

2022 年 4 月 2 日

@yedanten 那也要有害的 payload 经过 spring 框架处理才行吧，如果请求都是 netty 处理的，spring 只做了 di ，也能利用上吗?

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.