技术文章 - CS366559
ThingWorx Spring4shell CVE-2022-22965 漏洞事件响应
已修改: 13-Oct-2022
适用于
- ThingWorx Platform 9.0 to 9.3
- Affected versions of Spring framework
- 5.3.0 to 5.3.17
- 5.2.0 to 5.2.19
- Older, unsupported versions are also affected
说明
- JDK9+ 上流行的 Java 框架 Spring Core最近报告了一个定义为Spring4shell CVE-2022-22965的新漏洞
- 其他报告的漏洞 -
- CVE-2022-22963 (Spring Cloud) - 在 Spring Cloud Function 版本 3.1.6、3.2.2 和不受支持的旧版本中,当使用路由功能时,用户可以提供特制的 SpEL 作为路由表达式,可能会导致访问本地资源
- ThingWorx 及其平台组件不受此问题的影响
- CVE-2022-22950(Spring 表达式) - 在 Spring Framework 版本 5.3.0 - 5.3.16 和不受支持的旧版本中,用户可以提供可能导致拒绝服务条件的特制 SpEL 表达式。如果没有适当缓解,Spring Expression 可能导致拒绝服务
- ThingWorx 及其平台组件不受此问题的影响
- CVE-2022-22963 (Spring Cloud) - 在 Spring Cloud Function 版本 3.1.6、3.2.2 和不受支持的旧版本中,当使用路由功能时,用户可以提供特制的 SpEL 作为路由表达式,可能会导致访问本地资源
- 如果不解决这些漏洞,可能会允许远程代码执行(RCE),这将允许攻击者在机器上执行任意代码并危及整个主机
- 这些是报告中针对特定易受攻击场景的要求:
- JDK 9 或更高版本
- Apache Tomcat 作为 Servlet 容器
- 打包为传统的 WAR(与 Spring Boot 可执行 jar 相比)
- spring-webmvc 或 spring-webflux 依赖项
- Spring Framework 版本 5.3.0 到 5.3.17、5.2.0 到 5.2.19 以及更早的版本
- 注:该漏洞的性质较为笼统,可能还有其他尚未报道的利用方式
这是文章 366559 的 PDF 版本,可能已过期。最新版本 CS366559