发表新帖
发表新帖

BladeX 2.9.1版本框架存在两个spring漏洞风险

Blade 未结
关注 举报
2 1766
liuhongwei
liuhongwei 剑童 2022-04-21 13:49

一、该问题的重现步骤是什么?

1. BladeX框架存在安全风险。官方已提供升级初丁。但目前2.9.1版本的SpringBoot版本为2.3.12,存在安全风险

2. CVE-2022-22950 存在特定SpEL表达式服务拒绝,中等级别

3. CVE-2022-22965 在JDK9下,Controller绑定数据到bean类,通过tomcat部署,则可能存在远程shell命令的风险


二、你期待的结果是什么?实际看到的又是什么?

升级SpringBoot版本至安全版本,进行漏洞修复,提供新的版本

漏洞编号

Spring Framework漏洞版本

Spring Framework修复版本

Spring Boot 对应版本

CVE-2022-22950

5.3.0 - 5.3.16及旧版本

5.3.17+

2.5.11+

5.2.0 - 5.2.19及旧版本

5.2.20+

2.5.12+

CVE-2022-22965

5.3.0 - 5.3.17及旧版本

5.3.18+

2.6.5+

5.2.0 - 5.2.19及旧版本

5.2.20+

2.6.6+


三、你正在使用的是什么产品,什么版本?在什么操作系统上?

       目前在使用BladeX 2.9.1版本在web服务上使用。centos系统


四、请提供详细的错误堆栈信息,这很重要。

       无

五、若有更多详细信息,请在下面提供。

漏洞及修复信息

https://tanzu.vmware.com/security/cve-2022-22950

https://tanzu.vmware.com/security/cve-2022-22965


https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22950

 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22965


2条回答
  • admin - BladeX作者
    2022-04-21 16:53

    还需要同时满足3个条件才会有影响

     1. Java版本大于等于9 (95% 用户使用java8)

     2. 使用tomcat容器 (99.9% 用户使用undertow)

     3. 打包成war (99.9% 用户打包成jar)


    所以这个问题其实影响不是很大,真有0.1%的用户,升级一下版本就行

    0 讨论(0)
  • liuhongwei
    2022-04-21 16:55

    还有这个漏洞 CVE-2022-22950

    0 讨论(0)
 看不清?
提交回复
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方新品
BladeX 物联网开发平台
热议问题
将所有访问接口的请求,都保存到数据库日志表blade_log_usual或blade_log_api中 1
nacos服务分组名称 1
Saber2怎么跳转到Saber3 1
聚合文档中调试没有相关header参数的填写 1
开源版的blade-swagger工程被移除了吗 1
加上全局处理异常后,错误日志就不会自动入库的问题吗 1
图片在minio,怎么设置图片需要授权才能访问,比如一些身份证图片图片地址,不能直接访问 1
cloud如何获取登录用户信息 1
登录之后页面莫名其妙出现报错 1
协议转换脚本问题 1
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2024 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号