CVE-2022-22965

请遵循国家漏洞管理办法，在漏洞公开前，不要发布相关信息

野外流传了一小段时间后，Spring官方在3月31日正式发布了漏洞信息，漏洞编号为CVE-2022-22965,该漏洞为远程代码执行漏洞，官方发布了Spring Framework 5.3.18和5.2.20的补丁修复了该漏洞，且依赖 Spring Framework 5.3.18 的 Spring Boot 2.6.6 和 2.5.12 已经发布。

• 环境复现配置版本
• SpringMVC参数绑定
• Java Bean PropertyDescriptor
• Spring BeanWrapperImpl
• Tomcat AccessLogValve 和 access_log

漏洞复现

详情请看PPT

漏洞分析

我们从POC入手进行分析。通过对POC中的data URL解码后可以拆分成如下5对参数，我们对这些参数进行分析：

• pattern参数
• suffix参数
• directory参数
• prefix参数
• fileDateFormat参数

修复&防御

• 漏洞修复：
  • Spring 5.3.18补丁
  • Tomcat 9.0.62补丁
• 漏洞防范

本次组会内容下载链接