所以 Spring 的 0day RCE 漏洞被证实了？

2022-03-31 13:36:51 +08:00

blindpirate

2593 次点击

所在节点

11 条回复

eviladan0s

2022-03-31 14:42:06 +08:00

漏洞的确存在，没 log4j2 影响大

chendy

2022-03-31 15:20:35 +08:00

修复补丁还没发，就把漏洞 poc 到处传播的人我觉得是真的缺德……

git00ll

2022-03-31 23:36:26 +08:00

试了一下使用 springboot 似乎么有问题

sagaxu

2022-04-01 00:50:52 +08:00

三个条件
1. java 9+
2. tomcat + war 包
3. 实用了 mvc 或 webflux

能升 java 9+的，大概也不用 war 包部署了

interim

2022-04-01 01:43:42 +08:00

@sagaxu 如果按你所说的，感觉这个漏洞基本上没有利用价值....

mrochcnnnnn

2022-04-01 12:43:27 +08:00

集团已发邮件让重视

yedanten

2022-04-01 15:47:36 +08:00

@sagaxu 漏洞其实只要符合第一点就可以，tomcat 是改日志的配置项直接添加个规则写 shell 方便，是存在其他利用链的。

INCerry

2022-04-01 18:46:00 +08:00

war 包只是拿 shell 方便，感觉 jar 包也有其它方式拿 shell

sagaxu

2022-04-01 19:48:34 +08:00

@yedanten 没用 spring mvc 也行吗?

yedanten

2022-04-02 08:30:21 +08:00

@sagaxu 行，漏洞位于 spring framework 。

sagaxu

2022-04-02 09:34:44 +08:00

@yedanten 那也要有害的 payload 经过 spring 框架处理才行吧，如果请求都是 netty 处理的，spring 只做了 di ，也能利用上吗?

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.