新版Spring修复远程命令执行漏洞(CVE-2022-22965)。此错误已在5.3.18和5.2.20.RELEASE中修复。漏洞等级:严重受影响组件:org.springframework:spring-beans受影响版本:该漏洞存在于<5.3.18和<5.2.20.RELEASE的Spring框架中。请用户尽快检查处理。缺陷分析CVE-2010-1622存在由自动参数绑定机制引起的问题。该漏洞之前是通过黑名单方式修复的,但是在JDK9之后引入了Module,可以通过getModule绕过前者的黑名单限制。最后导致远程代码执行。如何快速排查MurphySecurity提供了一系列检测工具,可以帮助您快速排查您的项目是否受到影响。GitLab全码检测使用基于MurphySecurityCLI的检测工具快速检测你GitLab上的所有项目工具地址:GitHub-murphysecurity/murphysec-gitlab-scanner使用方法:从项目地址拉取最新代码执行命令:python3scan_all.py-A"yourgitlabaddress"-T"yourgitlabtoken"-t"yourmurphytoken"参数说明:-A:指定你的GitLab服务地址-T:指定你的GitLab个人访问令牌-t:指定你的MurphySecurityaccountaccesstoken说明:检测只发生在你的本地环境中,不会向服务器上传任何代码。MurphySecurityOpenSourceCLITool使用CLI工具在命令行检测指定目录下代码的依赖安全问题工具地址:https://github.com/murphysecu...具体使用方法请参考项目README或官方文档:检测只发生在你本地环境,不会上传代码到服务器MurphySecurityIDE代码依赖的安全问题可以在插件IDE中检测,并且通过精准的修复方案和一键修复功能,快速解决安全问题。使用方法:在IDE插件中搜索“murphysec”进行安装,选择“点击开始扫描”即可检测代码中存在哪些安全漏洞组件。以上检测方式可以在墨菲安全平台上查看详细的检测结果。并且可以查看项目的直接或间接依赖信息。参考链接https://spring.io/blog/2022/0...————————————————————版权声明:本文为CSDN博主原创文章》MurphySecurity》,遵循CC4.0BY-SA版权协议,转载请附上原文链接及本声明。
