4 月 2 日訊息，2022 年 3 月 30 日，國家資訊保安漏洞共享平臺（CNVD）收錄了 Spring 框架遠端命令執行漏洞（CNVD-2022-23942）。併發布了關於 Spring 框架存在遠端命令執行漏洞的安全公告，安全公告編號：CNTA-2022-0009。

下面是公告內容：

2022 年 3 月 30 日，國家資訊保安漏洞共享平臺（CNVD）收錄了 Spring 框架遠端命令執行漏洞（CNVD-2022-23942）。攻擊者利用該漏洞，可在未授權的情況下遠端執行命令。目前，漏洞利用細節已大範圍公開，Spring 官方已釋出補丁修復該漏洞。CNVD 建議受影響的單位和使用者立即更新至最新版本。

一、漏洞情況分析

Spring 框架（Framework）是一個開源的輕量級 J2EE 應用程式開發框架，提供了 IOC、AOP 及 MVC 等功能，解決了程式人員在開發中遇到的常見問題，提高了應用程式開發便捷度和軟體系統構建效率。

2022 年 3 月 30 日，CNVD 平臺接收到螞蟻科技集團股份有限公司報送的 Spring 框架遠端命令執行漏洞。由於 Spring 框架存在處理流程缺陷，攻擊者可在遠端條件下，實現對目標主機的後門檔案寫入和配置修改，繼而通過後門檔案訪問獲得目標主機許可權。使用 Spring 框架或衍生框架構建網站等應用，且同時使用 JDK 版本在 9 及以上版本的，易受此漏洞攻擊影響。

CNVD 對該漏洞的綜合評級為“高危”。

二、漏洞影響範圍

漏洞影響的產品版本包括：

版本低於 5.3.18 和 5.2.20 的 Spring 框架或其衍生框架構建的網站或應用。

三、漏洞處置建議

目前，Spring 官方已釋出新版本完成漏洞修復，CNVD 建議受漏洞影響的產品（服務）廠商和資訊系統運營者儘快進行自查，並及時升級至最新版本：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

附：參考連結：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

https://github.com/spring-projects/spring-framework/compare/v5.3.17...v5.3.18