永洪社区

标题: 【漏洞预警】Spring Framework存在远程命令执行漏洞 [打印本页]

作者: 洪小豆    时间: 2022-3-30 14:05
标题: 【漏洞预警】Spring Framework存在远程命令执行漏洞
hi,all:
   我司(北京永洪商智科技有限公司)于今日监测到"Spring Framework存在远程命令执行漏洞",NVD暂未评分,FreeBuf评级为“危险”。
   Yonghong Z-Suite受影响,漏洞详情见附件,我司将尽快解决该问题并发布解决方案。



   Spring近期频繁曝出漏洞,永洪PSIRT将持续监控。


作者: 永洪tech-Bella    时间: 2022-3-30 14:05
Hi,all:

    2022年3月30日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞(CNVD-2022-23942,详细信息见https://www.cnvd.org.cn/webinfo/show/7541)。
    攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,漏洞利用细节已大范围公开,CNVD对该漏洞的综合评级为“高危”。

    Yonghong Z-Suite 部分版本使用了Spring框架,请尽快更新thirds.jar。
    影响范围:v8.5-v9.4.1.1
    解决方案:
        1、v9.0-v9.4.1.1版本
            更新thirds中的springframework到最新的5.3.18版本:
            1)删除thirds.jar\org\springframework文件夹;
            2)复制附件替换进thirds.jar。
        2、v8.5-v8.8.3.1版本
            目前已停止更新,请使用该范围版本的客户尽快更新至9系列。
            临时解决方案,永洪PSIRT正在加急处理中,解决后会第一时间通知。

    同时产品后续发布版本(如9.4.2/9.2.5/9.0.7等)都会解决该漏洞
(, 下载次数: 18)