- 博客(1)
- 收藏
- 关注
RSS订阅原创 CVE-2022-22965漏洞复现
攻击者通过精心构造的 HTTP 请求参数,利用 Spring 自动绑定对象属性的特性,修改 Tomcat 日志配置相关对象的敏感属性(如日志路径、文件名、内容格式等),最终实现远程代码执行。攻击者通过参数构造多级属性路径(如class.module.classLoader.resources.context.parent.pipeline.first.pattern),逐层访问到 Tomcat 的AccessLogValve对象,修改其日志配置属性(如pattern、directory等)。
2025-06-11 03:46:11
468
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人