【漏洞预警】Spring Framework存在远程命令执行漏洞

hi，all：
   我司（北京永洪商智科技有限公司）于今日监测到"Spring Framework存在远程命令执行漏洞"，NVD暂未评分，FreeBuf评级为“危险”。
   Yonghong Z-Suite受影响，漏洞详情见附件，我司将尽快解决该问题并发布解决方案。



   Spring近期频繁曝出漏洞，永洪PSIRT将持续监控。

Hi，all：

    2022年3月30日，国家信息安全漏洞共享平台（CNVD）收录了Spring框架远程命令执行漏洞（CNVD-2022-23942，详细信息见https://www.cnvd.org.cn/webinfo/show/7541）。
    攻击者利用该漏洞，可在未授权的情况下远程执行命令。目前，漏洞利用细节已大范围公开，CNVD对该漏洞的综合评级为“高危”。

    Yonghong Z-Suite 部分版本使用了Spring框架，请尽快更新thirds.jar。
    影响范围：v8.5-v9.4.1.1
    解决方案：
        1、v9.0-v9.4.1.1版本
            更新thirds中的springframework到最新的5.3.18版本：
            1）删除thirds.jar\org\springframework文件夹；
            2）复制附件替换进thirds.jar。
        2、v8.5-v8.8.3.1版本
            目前已停止更新，请使用该范围版本的客户尽快更新至9系列。
            临时解决方案，永洪PSIRT正在加急处理中，解决后会第一时间通知。

    同时产品后续发布版本（如9.4.2/9.2.5/9.0.7等）都会解决该漏洞
springframework.zip (9.15 MB, 下载次数: 18)

2022-4-2 11:12 上传

点击文件名下载附件

https://avd.aliyun.com/detail?id=AVD-2022-1124599
你好，Spring 官方已发布新版本修复该漏洞，麻烦尽快给下解决方案。

另外，看附件文档介绍说是会给出新的 third.jar 文件，我司现采购产品有 8.7 和 9.1 版本，是否都会进行修复？以及，之前 9.1 版本受到 log4j2 漏洞影响，当时永洪给出的解决方案是手动替换 third.jar 中的部分文件，我司已进行修复，在之后修复该漏洞给出的 third.jar 文件中，是否可以将 log4j2 漏洞一并修复，避免重复操作？

您好，如果需要新jar，您需要提工单申请，看您的版本还比较老了，建议可以升级新版本

Hi，all：

    2022年3月30日，国家信息安全漏洞共享平台（CNVD）收录了Spring框架远程命令执行漏洞（CNVD-2022-23942，详细信息见https://www.cnvd.org.cn/webinfo/show/7541）。
    攻击者利用该漏洞，可在未授权的情况下远程执行命令。目前，漏洞利用细节已大范围公开，CNVD对该漏洞的综合评级为“高危”。

    Yonghong Z-Suite 部分版本使用了Spring框架，请尽快更新thirds.jar。
    影响范围：v8.5-v9.4.1.1
    解决方案：
        1、v9.0-v9.4.1.1版本
            更新thirds中的springframework到最新的5.3.18版本：
            1）删除thirds.jar\org\springframework文件夹；
            2）复制附件替换进thirds.jar。
        2、v8.5-v8.8.3.1版本
            目前已停止更新，请使用该范围版本的客户尽快更新至9系列。
            临时解决方案，永洪PSIRT正在加急处理中，解决后会第一时间通知。

    同时产品后续发布版本（如9.4.2/9.2.5/9.0.7等）都会解决该漏洞

请问，什么时候发布9.2.5版

美滋滋 发表于 2022-4-2 13:25
请问，什么时候发布9.2.5版

目前还没有明确的计划呢

请问 v8.5-v8.8.3.1版本的修复方案什么时候可以提供？领导一直在关注。

永洪tech-Bella 发表于 2022-3-30 14:05
Hi，all：

    2022年3月30日，国家信息安全漏洞共享平台（CNVD）收录了Spring框架远程命令执行漏洞（CNVD ...

请问X版本有影响吗，941