关联漏洞
标题:
Spring Framework 代码注入漏洞
(CVE-2022-22965)
描述:Spring Framework是美国Spring团队的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Framework 存在代码注入漏洞,该漏洞源于 JDK 9+ 上的数据绑定的 RCE。以下产品和版本受到影响:5.3.0 至 5.3.17、5.2.0 至 5.2.19、较旧的和不受支持的版本也会受到影响。
描述
CVE-2022-22965 Environment
介绍
# CVE-2022-22965
CVE-2022-22965 Environment
For more:
CVE-2022-22965 spring4shell复现与调试
CVE-2022-22965 spring4shell reproducing and debugging
https://blog.joe1sn.top/2022/04/01/spring4shell/
文件快照
[4.0K] /data/pocs/43d24fc4b22ce926fa840cb65572fd7e6dd03ddf
├── [4.0K] idea
│ ├── [4.0K] artifacts
│ │ └── [ 752] Spring4Shell_war_exploded.xml
│ ├── [4.0K] libraries
│ │ ├── [ 775] Java_EE_6_Java_EE_6.xml
│ │ ├── [1.6K] Spring_5_2_3_RELEASE.xml
│ │ └── [ 388] Spring_MVC_5_2_3_RELEASE.xml
│ ├── [ 276] misc.xml
│ ├── [ 271] modules.xml
│ ├── [ 185] vcs.xml
│ └── [ 12K] workspace.xml
├── [4.0K] lib
│ ├── [4.4K] aopalliance-1.0.jar
│ ├── [ 60K] commons-logging-1.2.jar
│ ├── [7.5K] javax.annotation.jar
│ ├── [ 46K] javax.ejb.jar
│ ├── [ 25K] javax.jms.jar
│ ├── [127K] javax.persistence.jar
│ ├── [ 43K] javax.resource.jar
│ ├── [ 68K] javax.servlet.jar
│ ├── [ 77K] javax.servlet.jsp.jar
│ ├── [ 27K] javax.servlet.jsp.jstl.jar
│ ├── [9.5K] javax.transaction.jar
│ ├── [364K] spring-aop-5.2.3.RELEASE.jar
│ ├── [ 46K] spring-aspects-5.2.3.RELEASE.jar
│ ├── [669K] spring-beans-5.2.3.RELEASE.jar
│ ├── [1.2M] spring-context-5.2.3.RELEASE.jar
│ ├── [178K] spring-context-support-5.2.3.RELEASE.jar
│ ├── [1.4M] spring-core-5.2.3.RELEASE.jar
│ ├── [275K] spring-expression-5.2.3.RELEASE.jar
│ ├── [7.2K] spring-instrument-5.2.3.RELEASE.jar
│ ├── [397K] spring-jdbc-5.2.3.RELEASE.jar
│ ├── [256K] spring-jms-5.2.3.RELEASE.jar
│ ├── [530K] spring-messaging-5.2.3.RELEASE.jar
│ ├── [196K] spring-orm-5.2.3.RELEASE.jar
│ ├── [ 62K] spring-oxm-5.2.3.RELEASE.jar
│ ├── [663K] spring-test-5.2.3.RELEASE.jar
│ ├── [307K] spring-tx-5.2.3.RELEASE.jar
│ ├── [1.4M] spring-web-5.2.3.RELEASE.jar
│ └── [924K] spring-webmvc-5.2.3.RELEASE.jar
├── [4.0K] out
│ ├── [4.0K] artifacts
│ │ └── [4.0K] Spring4Shell_war_exploded
│ │ └── [4.0K] WEB-INF
│ │ ├── [ 307] applicationContext.xml
│ │ ├── [4.0K] classes
│ │ │ └── [4.0K] com
│ │ │ └── [4.0K] joe1sn
│ │ │ ├── [4.0K] controller
│ │ │ │ └── [2.0K] HelloController.class
│ │ │ └── [4.0K] module
│ │ │ └── [ 529] EvalBean.class
│ │ ├── [ 816] dispatcher-servlet.xml
│ │ ├── [4.0K] lib
│ │ │ ├── [4.4K] aopalliance-1.0.jar
│ │ │ ├── [ 60K] commons-logging-1.2.jar
│ │ │ ├── [364K] spring-aop-5.2.3.RELEASE.jar
│ │ │ ├── [ 46K] spring-aspects-5.2.3.RELEASE.jar
│ │ │ ├── [669K] spring-beans-5.2.3.RELEASE.jar
│ │ │ ├── [1.2M] spring-context-5.2.3.RELEASE.jar
│ │ │ ├── [178K] spring-context-support-5.2.3.RELEASE.jar
│ │ │ ├── [1.4M] spring-core-5.2.3.RELEASE.jar
│ │ │ ├── [275K] spring-expression-5.2.3.RELEASE.jar
│ │ │ ├── [7.2K] spring-instrument-5.2.3.RELEASE.jar
│ │ │ ├── [397K] spring-jdbc-5.2.3.RELEASE.jar
│ │ │ ├── [256K] spring-jms-5.2.3.RELEASE.jar
│ │ │ ├── [530K] spring-messaging-5.2.3.RELEASE.jar
│ │ │ ├── [196K] spring-orm-5.2.3.RELEASE.jar
│ │ │ ├── [ 62K] spring-oxm-5.2.3.RELEASE.jar
│ │ │ ├── [663K] spring-test-5.2.3.RELEASE.jar
│ │ │ ├── [307K] spring-tx-5.2.3.RELEASE.jar
│ │ │ ├── [1.4M] spring-web-5.2.3.RELEASE.jar
│ │ │ └── [924K] spring-webmvc-5.2.3.RELEASE.jar
│ │ ├── [4.0K] page
│ │ │ └── [ 316] index.jsp
│ │ └── [ 934] web.xml
│ └── [4.0K] production
│ └── [4.0K] Spring4Shell
│ └── [4.0K] com
│ └── [4.0K] joe1sn
│ ├── [4.0K] controller
│ │ └── [2.0K] HelloController.class
│ └── [4.0K] module
│ └── [ 529] EvalBean.class
├── [ 206] README.md
├── [1.1K] Spring4Shell.iml
├── [4.0K] src
│ └── [4.0K] com
│ └── [4.0K] joe1sn
│ ├── [4.0K] controller
│ │ └── [1.2K] HelloController.java
│ └── [4.0K] module
│ └── [ 208] EvalBean.java
└── [4.0K] web
└── [4.0K] WEB-INF
├── [ 307] applicationContext.xml
├── [ 816] dispatcher-servlet.xml
├── [4.0K] page
│ └── [ 316] index.jsp
└── [ 934] web.xml
29 directories, 71 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。