spring boot架構表達式注入漏洞

高危漏洞的曝光總是發生在意想不到的時刻：周末所有人都準備享受周末的時間，spring boot架構的spel表達式注入通用漏洞曝光，利用該漏洞，遠端攻擊者在伺服器上可執行任意指令――該漏洞影響spring boot版本從1.1-1.3.0，建議在使用存在此缺陷版本spring boot的企業立即将之更新至1.3.1或以上版本。

具體的漏洞預警報告如下：

影響範圍：spring boot版本1.1-1.3.0

修複方案：更新spring boot版本至1.3.1或以上版本

spring是2003年興起的輕量級java開發架構。任何java應用都可以使用該架構的核心特性，在java ee平台之上有可用于建構web應用的擴充。

而這裡的spring boot則是spring架構的一個核心子項目，是為建構獨立、生産級spring應用的約定優于配置(convention-over-configuration)解決方案。絕大部分spring boot應用都隻需要極少的spring配置即可。

spring boot能夠大大提升使用spring架構時的開發效率，于是國内很多企業在用它。國内包括百度、阿裡巴巴、騰訊等諸多知名企業都在使用該架構。

近期tangscan在對客戶進行日常安全巡檢的過程中發現一個客戶的表達式注入導緻的指令執行漏洞。通過園長表哥的分析，确定是spring boot的spel表達式注入通用漏洞。spring boot是spring 的一個核心子項目，目前國内bat均在使用。本次漏洞分析感謝@園長 表哥的大力支援。

原文釋出時間：2017年3月24日

本文由：安全加 釋出，版權歸屬于原作者

原文連結：http://toutiao.secjia.com/spring-boot-frame-injection-vulnerability

本文來自雲栖社群合作夥伴安全加，了解相關資訊可以關注安全加網站