SpringBoot项目中 Spring Framework远程代码执行漏洞的处理方案

最新推荐文章于 2025-05-24 15:40:10 发布
最新推荐文章于 2025-05-24 15:40:10 发布
阅读量1.2w 收藏 54
点赞数 60
CC 4.0 BY-SA版权
分类专栏: 开发技巧 文章标签: spring spring boot Spring漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhmyy521125/article/details/137484259
本文讲述了如何在SpringBoot2.3.11项目中处理SpringFramework远程代码执行漏洞(CVE-2022-22965),通过两种方式升级SpringFramework:spring-boot-starter-parent和spring-boot-dependencies,确保项目兼容并完成升级检查。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述

😄 19年之后由于某些原因断更了三年,23年重新扬帆起航,推出更多优质博文,希望大家多多支持~
🌷 古之立大事者,不惟有超世之才,亦必有坚忍不拔之志
🎐 个人CSND主页——Micro麦可乐的博客
🐥《Docker实操教程》专栏以最新的Centos版本为基础进行Docker实操教程,入门到实战
🌺《RabbitMQ》本专栏主要介绍使用JAVA开发RabbitMQ的系列教程,从基础知识到项目实战
🌸《设计模式》专栏以实际的生活场景为案例进行讲解,让大家对设计模式有一个更清晰的理解
如果文章能够给大家带来一定的帮助!欢迎关注、评论互动~

这里写目录标题

前言

公司最近要求对所有项目进行漏洞检测修复,其中有一项漏洞名称为 Spring Framework远程代码执行漏洞(CVE-2022-22965) 需要升级Spring Framework版本解决,如图
在这里插入图片描述

问题

由于某个项目使用的SpringBoot版本为2.3.11.RELEASE而默认对应的Spring Framework版本为5.2.15.RELEASE,直接升级 5.3.18 及以上版本会导致项目各种报错,这里博主还是决定升级为5.2.20.RELEASE

基于spring-boot-starter-parent方式解决

这种方式通过 spring-boot-starter-parent 引入并使用spring boot,这种方式只需要在pom文件中加入springframework 的版本号变量就可以覆盖版本号的定义

   <parent>
        <artifactId>spring-boot-starter-parent</artifactId>
        <groupId>org.springframework.boot</groupId>
        <version>2.3.11.RELEASE</version>
    </parent>

    <properties>
        <spring-framework.version>5.2.20.RELEASE</spring-framework.version>
    </properties>

基于spring-boot-dependencies方式解决

通过在dependencyManagement中加入对应的spring-framework-bom处理,在此之前我们可以查看spring-boot-dependencies.pom配置可以看到对应spring-framework版本,以及spring-framework-bom的相关配置
在这里插入图片描述

<dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.springframework</groupId>
                <artifactId>spring-framework-bom</artifactId>
                <version>5.2.20.RELEASE</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
            
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-dependencies</artifactId>
                <version>2.3.11.RELEASE</version>
                <scope>import</scope>
                <type>pom</type>
            </dependency>
        </dependencies>
    </dependencyManagement>

值得注意的是spring-framework-bom必须在spring-boot-dependencies之前否则不生效!

检查是否完成升级

通过maven刷新项目,查看项目依赖,检查springframework是否升级到了指定版本
在这里插入图片描述

结语

本文主要和大家分享一下博主本次处理低版本SpringBoot项目的Spring Framework远程代码执行漏洞的方案,具体升级至什么版本主要还是看大家使用的SpringBoot版本决定

Springboot远程代码执行漏洞复现(CVE-2022-22965)
初岄的博客
07-09 1582
Springboot远程代码执行漏洞复现(CVE-2022-22965)
Spring Framework 远程命令执行漏洞CVE-2022-22965
qq_32445755的博客
03-31 518
简介 Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。 未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。 该漏洞广泛存在于Spring 框架以及衍生的框架中,并JDK 9.0及以上版本会受到影响。 Spring 0day漏洞 影响范围 JDK9 <= Spring Cloud Function JDK9及其以上版本; 使⽤了Spring-bean
Spring Framework CVE-2022-22965漏洞详细分析
HBohan的博客
04-18 2188
一. 漏洞利用条件 jdk9+ Spring 及其衍生框架 使用tomcat部署spring项目 使用了POJO参数绑定 Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本 二. 漏洞分析 一开始复现这个漏洞的时候,听其他师傅说是一个老漏洞CVE-2010-1266的绕过,之前也没调试过这个漏洞,看了些分析文章后,大概明白是对Spring中的bean的漏洞利用,通过API Introspector. getBeanInfo 可以获取到PO
Spring Framework远程代码执行漏洞(CVE-2022-22965)
热门推荐
chaojixiaojingang
04-06 1万+
1.漏洞描述 由于Spring处理流程存在缺陷,在JDK9及以上版本的Spring框架环境中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并注入恶意字段值,触发pipeline机制,从而在任意路径下写入文件。远程攻击者可利用该漏洞写入恶意代码导致远程代码执行。 2.影响版本 JDK >= 9 & 5.3.X < Spring Framework < 5.3.18 JDK >= 9 & 5.2.X ...
CVE-2022-22965源码分析与漏洞复现
最新发布
spinage的博客
05-24 1531
漏洞分析:CVE-2022-22965(Spring4Shell) 漏洞概述 CVE-2022-22965(Spring4Shell)是Spring Framework中的一个高危远程代码执行漏洞(CVSS 9.8),影响Spring 5.3.x <5.3.18和5.2.x <5.2.20版本。攻击者可利用Spring MVC的数据绑定机制,通过恶意HTTP请求修改Tomcat日志配置,注入JSP WebShell,最终在服务器上执行任意命令。 漏洞成因 数据绑定缺陷:Spring MVC在处理请求参数时
Spring Framework远程代码执行漏洞
m0_71745903的博客
01-11 845
2022年3月30日,国家信息安全漏洞共享平台(CNVD)发布了Spring框架远程命令执行漏洞(攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,此漏洞POC、技术细节及EXP已大范围公开,此漏洞影响范围极大。目前Spring官方已发布补丁修复该漏洞,强烈建议Spring框架用户立即更新至最新版本。
Spring Framework远程代码执行漏洞(CVE-2022-22965)
qq_50854662的博客
06-27 1223
Spring Framework远程代码执行漏洞(CVE-2022-22965)
Spring Framework远程代码执行漏洞_CVE-2022-22965复现
ANYOUZHEN的博客
06-04 987
漏洞描述及背景:准备复现在kali上使用vulhub打开环境: docker-compose up -d查看vulhub的信息,可以看到端口为8080,输入网址http://127.0.0.1:8080/ 按照作者的链接:http://127.0.0.1:8080/?name=Bob&age=25 然后根据提示,构造请求地址: 对该地址进行抓包,抓包前记得修改bp默认端口,因为默认端口8080和本次ip地址冲突了,改完后记得把火狐插件上面的也进行更改,反正不是8080就行。(这里建议弄两个,一个8080
spring Framework 远程命令执行漏洞CVE-2022-22965漏洞脚本自用
10-27
Spring4Shell漏洞中,问题出在Spring MVC和Spring WebFlux这两个组件的`DefaultMethodArgumentResolver`类中。当应用启用`@RequestMapping`注解并接受URL路径参数时,恶意用户可以通过精心构造的HTTP请求触发该...
CVE-2022-22965:Spring远程代码执行漏洞
hjseo_seg的博客
07-30 870
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。SpringframeworkSpring里面的一个基础开源框架,其目的是用于简化Java企业级应用的开发难度和开发周期,2022年3月31日,VMwareTanzu发布漏洞报告,SpringFramework存在远程代码执行漏洞,在JDK9+上运行的SpringMVC或SpringWebFlux应用程序可能容易受到通过数据绑定的远程代码执行(RCE)的攻击。...
Spring框架Data Binding与JDK 9+导致的远程代码执行漏洞复现
Tauil的博客
07-24 877
远程代码执行漏洞起因有可能与对SpringCore所做的更改有关,该更改弃用了使用Java序列化和反序列化的旧“异常克隆”函数。该操作导致Java中使用不受信任的字符串值的反序列化运行远程代码。因为需要设置c1、c2、suffix值,所以攻击机中打开burpsiute进行抓包,修改数据包为。,那么我们可以尝试构造特定的类,从而在目标web目录下创建特定文件。sudodockerps//记住你使用8983端口容器ID,记前两位就行。就可以看到我们输入的命令执行成功了。,该页面的页源代码是。......
记录一次vulhub:Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
sszsNo1的博客
06-29 315
vulhub:Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
Spring框架(Framework)存在远程命令执行漏洞
qq_20025777的博客
08-31 719
Spring框架存在远程命令执行漏洞
安全修复之Web——Spring Framework 远程代码执行漏洞
CN華少的博客
05-21 463
安全修复之Web——Spring Framework 远程代码执行漏洞 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:Java...
(CVE-2022-22965)Spring Framework 远程命令执行漏洞(vulfocus复现)
qq_40646572的博客
05-11 1056
漏洞SpringFramework数据绑定的一个漏洞,如果后台方法中接受的参数为非基础类型,Spring会根据前端传入的请求正文中的参数的key值来查询与其名称所对应的getter和setter方法,攻击者利用这一特性修改了Tomcat的一个用于日志记录的类的属性,进而当Tomcat在进行写日志操作的时候,将攻击者传递的恶意代码写入指定目录的指定文件中。
[2022.3.30安全漏洞]Spring Framework远程代码执行漏洞
DynmicResource的博客
04-01 3135
一起养成写作习惯!这是我参与「掘金日新计划 · 4 月更文挑战」的第1天,点击查看活动详情。 2022年3月30日,国家信息安全漏洞共享平台(CNVD)发布了Spring框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。 目前,此漏洞POC、技术细节及EXP已大范围公开,此漏洞影响范围极大。目前Spring官方已发布补丁修复该漏洞...
Spring Framework 远程代码执行漏洞
BoomA_的博客
03-30 1613
Spring框架曝光安全漏洞
Spring 远程命令执行漏洞分析(CVE-2022-22965)
weixin_43263451的博客
08-14 4417
最近想学习学习spring框架方面的漏洞。刚好今年上半年爆了一个spring框架的远程命令执行漏洞,随即赶紧来分析一波这个漏洞总的来说是因为:通过spring参数绑定处存在的缺陷使得可以修改tomcat的日志记录相关类AccessLogValve的成员变量从而达到修改tomcat日志记录的配置,最终导致写入jsp马class.module.classLoader.resources.context.parent.pipeline.first.pattern=此处为webshell内容............
java的springboot项目架构
03-30
### Spring Boot 项目架构设计与最佳实践 #### 微服务架构下的Spring Boot设计理念 Spring Boot 是一种基于 Java 的轻量级框架,其核心理念在于简化配置过程并加速开发周期。它特别适用于构建微服务架构的应用程序,允许开发者专注于业务逻辑而非复杂的基础设施设置[^1]。 #### 示例代码展示基本结构 以下是一个典型的 Spring Boot 应用入口文件示例,展示了如何利用 `@SpringBootApplication` 注解来初始化应用程序以及集成其他功能组件(如 Zuul 网关代理): ```java import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.cloud.netflix.zuul.EnableZuulProxy; @SpringBootApplication @EnableZuulProxy public class ZuulGatewayApplication { public static void main(String[] args) { SpringApplication.run(ZuulGatewayApplication.class, args); } } ``` 此代码片段说明了 Spring Boot 如何通过简单的注解驱动方式完成复杂的功能扩展[^2]。 #### 排除不必要依赖的最佳实践 在某些情况下,默认引入的依赖可能不符合项目的实际需求,因此需要对其进行有效管理。以下是几个常见原因及其解决方案: - **避免冲突**:当多个模块间存在同名但不同版本的类时可能导致运行错误; - **减小应用体积**:删除冗余库可以显著降低部署包大小; - **增强安全性**:淘汰含有已知漏洞的老化库件; - **优化性能表现**:剔除非必需部分有助于改善启动速度及内存占用情况。 Maven 构建工具提供了 `<exclusions>` 标签用于指定哪些子依赖应该被忽略掉[^3]: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-jpa</artifactId> <exclusions> <exclusion> <groupId>com.example.unwanted-library</groupId> <artifactId>unwanted-artifact-id</artifactId> </exclusion> </exclusions> </dependency> ``` #### 配置中心支持 为了更好地管理和分发配置信息,在分布式环境中通常会采用集中式的配置服务器方案。下面是如何定义一个 Config Client 来连接远程配置仓库的例子[^4]: ```yaml spring: cloud: config: uri: http://localhost:8888 ``` #### 处理分布式事务挑战 由于每个独立的服务单元都有各自的持久层存储机制,所以在执行跨越多节点的操作过程中必须采取额外措施以维护全局一致性状态。Spring 提供了一些内置的支持选项帮助解决这类难题[^5]。 ---
评论 32
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Micro麦可乐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值