文章
文章用户文档快讯圈子网址导航

【漏洞公告】Spring Framework多个安全漏洞预警

释放双眼,带上耳机,听听看~!

2018年4月7日,安全专题监测到Spring官方在Spring Framework 5.0.5 和 4.3.15 修复了3个CVE漏洞(CVE-2018-1270,CVE-2018-1271,CVE-2018-1272)
。其中CVE-2018-1270为远程代码执行高危漏洞,若使用spring-messaging + websocket + STOMP架构情况下,攻击者可以利用spring-messaging模块向代理发送恶意的消息,从而导致远程代码执行。

 

漏洞名称:

CVE-2018-1270:使用Spring-messaging导致远程命令执行

CVE-2018-1271:在Windows系统上使用Spring MVC导致目录遍历

CVE-2018-1272:使用Spring 框架存在Multipart类型污染漏洞

 

官方评级:

CVE-2018-1270:高危

CVE-2018-1271:严重

CVE-2018-1272:低危

 

受影响范围:
Spring Framework 5.0 – 5.0.4

Spring Framework 4.3 – 4.3.14

官方已不支持的旧版本

 

解决方案:
安全专题建议使用了Spring相关框架用户关注并及时更新到官方最新版

5.0.x 版本用户更新至 5.0.5版本

4.3.x 版本用户更新至 4.3.16版本

 

对应的修复版本,官方下载链接:https://projects.spring.io/spring-framework/

 

更多详情请点击

我们会关注后续进展,请随时关注官方公告。

 

内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。

 

安全专题
2018.04.07

Related posts:

  1. 预警Confluence 最新远程命令执行高危漏洞(CVE-2019-3398)
  2. 【重大漏洞预警】Windows发布两个关键远程代码执行漏洞-CVE-2017-8543、CVE-2017-8464
  3. 预警F5 BIG-IP/BIG-IQ 多个严重高危漏洞(CVE-2021-22986等)
  4. 【漏洞通告】用友NC BeanShell远程代码执行漏洞(CNVD-2021-30167)

给TA打赏
共{{data.count}}人
人已打赏
[db:标签]代码执行命令安全攻击漏洞解决方案远程代码远程代码执行远程命令执行高危漏洞
安全漏洞

微软披露 IE 漏洞,攻击者可以控制受影响系统

2018-12-21 11:12:22

安全漏洞

引起 Edge 浏览器远程代码执行漏洞的 PoC 已发布

2018-12-30 11:12:22

猜你喜欢

解锁会员权限

开通会员

解锁海量优质VIP资源

立刻开通
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索

  • 扫码打开当前页

返回顶部