Spring Framework RCE漏洞分析（CVE-2022-22965）<\/h1>

漏洞概述<\/h2>
CVE-2022-22965是Spring Framework中的一个远程代码执行漏洞，该漏洞允许攻击者通过特制的HTTP请求修改Tomcat访问日志配置，最终实现任意代码执行。该漏洞影响Spring Framework 5.3.0至5.3.17、5.2.0至5.2.19以及更早版本。<\/p>

环境要求<\/h2>

JDK 9+<\/li>
Tomcat 8.0.53<\/li>

Spring Framework 5.3.17（受影响版本）<\/li> <\/ul>

漏洞原理分析<\/h2>

核心机制<\/h3>

该漏洞利用了Spring Framework的两个特性组合：<\/p>

Java内置的class<\/code>属性：每个Java类都有一个内置的class<\/code>属性，用于存储类实例<\/li>

Spring的JavaBean属性注入特性：Spring会自动将HTTP请求参数绑定到控制器方法的参数对象上<\/li>
<\/ol>
漏洞触发流程<\/h3>

攻击者发送特制的HTTP请求，参数名为class.module.classLoader.resources.context.parent.pipeline.first.suffix<\/code><\/li>
Spring以"."为分隔符解析参数，第一个对比属性为"class"<\/li>
Spring检查propertyDescriptors<\/code>变量中是否存在"class"属性<\/li>
由于Java类确实有内置的class<\/code>属性，检查通过<\/li>
Spring获取class<\/code>实例作为属性进行注入操作<\/li>
通过属性链式调用最终修改Tomcat访问日志配置<\/li>
<\/ol>
关键代码分析<\/h3>
漏洞的核心在于org.springframework.beans.CachedIntrospectionResults<\/code>类的getPropertyDescriptor<\/code>方法：<\/p>
\/\/ 从HTTP请求参数分解出的属性值
<\/span><\/span><\/span><\/span>String name =<\/span> "class.module.classLoader.resources.context.parent.pipeline.first.suffix"<\/span>;<\/span>
<\/span><\/span>\/\/ 以"."为分隔符解析出第一个对比属性为"class"
<\/span><\/span><\/span><\/span>String firstProperty =<\/span> "class"<\/span>;<\/span>
<\/span><\/span>\/\/ 检查propertyDescriptors中是否存在"class"属性
<\/span><\/span><\/span><\/span>PropertyDescriptor pd =<\/span> this<\/span>.<\/span>propertyDescriptors<\/span>.<\/span>get<\/span>(<\/span>firstProperty);<\/span>
<\/span><\/span><\/code><\/pre>propertyDescriptors<\/code>变量存储了从JavaBean类解析出的属性描述符，包括内置的class<\/code>属性：<\/p>
\/\/ 在CachedIntrospectionResults构造方法中
<\/span><\/span><\/span><\/span>PropertyDescriptor[]<\/span> pds =<\/span> this<\/span>.<\/span>beanInfo<\/span>.<\/span>getPropertyDescriptors<\/span>();<\/span>
<\/span><\/span>\/\/ 这里会获取到Java类的所有属性，包括内置的class属性
<\/span><\/span><\/span><\/code><\/pre>绕过检查机制<\/h3>
Spring原本对classLoader<\/code>属性做了检查，但通过module<\/code>调用classLoader<\/code>属性绕过了检查：<\/p>
\/\/ 原本的检查只限制了class类的classLoader属性
<\/span><\/span><\/span>\/\/ 使用module调用classLoader属性就绕过了这里的检查
<\/span><\/span><\/span><\/span>class.<\/span>module<\/span>.<\/span>classLoader<\/span>...<\/span>
<\/span><\/span><\/code><\/pre>利用条件<\/h2>

JDK 9+：因为低版本JDK的class<\/code>类不存在module<\/code>属性<\/li>
使用Tomcat作为Servlet容器<\/li>
应用程序以WAR包形式部署<\/li>
应用程序使用了Spring的Web MVC或WebFlux框架<\/li>
<\/ol>
漏洞修复<\/h2>
Spring Framework 5.3.18版本中修复了该漏洞，修复方式是在org.springframework.beans.CachedIntrospectionResults<\/code>类的构造方法中添加了更严格的检查：<\/p>
(<\/span>Class.<\/span>class<\/span> !=<\/span> beanClass ||<\/span> "name"<\/span>.<\/span>equals<\/span>(<\/span>pd.<\/span>getName<\/span>())<\/span> ||<\/span> pd.<\/span>getName<\/span>().<\/span>endsWith<\/span>(<\/span>"Name"<\/span>))<\/span> 
<\/span><\/span>&&<\/span> (<\/span>pd.<\/span>getPropertyType<\/span>()<\/span> ==<\/span> null<\/span> 
<\/span><\/span>    ||<\/span> !<\/span>ClassLoader.<\/span>class<\/span>.<\/span>isAssignableFrom<\/span>(<\/span>pd.<\/span>getPropertyType<\/span>())<\/span> 
<\/span><\/span>    &&<\/span> !<\/span>ProtectionDomain.<\/span>class<\/span>.<\/span>isAssignableFrom<\/span>(<\/span>pd.<\/span>getPropertyType<\/span>()))<\/span>
<\/span><\/span><\/code><\/pre>修复措施：<\/p>

检查属性类型是否为ClassLoader.class<\/code>和ProtectionDomain.class<\/code>的子类<\/li>
对class<\/code>属性的名称做了更严格的限制<\/li>
<\/ol>
漏洞总结<\/h2>
CVE-2022-22965漏洞的本质是两个Java常见特性的组合利用：<\/p>

Java内置class<\/code>属性<\/li>
Spring的JavaBean属性注入特性<\/li>
<\/ol>
漏洞成因在于对类和属性的检查不够全面，导致绕过。这个案例表明，在框架设计时需要对所有可能的属性访问路径进行严格的安全检查。<\/p>
防护建议<\/h2>

升级Spring Framework到安全版本（5.3.18+或5.2.20+）<\/li>
如果无法立即升级，可以添加@InitBinder<\/code>注解来禁止对特定字段的绑定<\/li>
限制应用程序运行时的权限，减少攻击面<\/li>
使用WAF等防护设备拦截恶意请求<\/li>
<\/ol>

Spring Framework RCE漏洞分析（CVE-2022-22965）<\/h1>

漏洞概述<\/h2> CVE-2022-22965是Spring Framework中的一个远程代码执行漏洞，该漏洞允许攻击者通过特制的HTTP请求修改Tomcat访问日志配置，最终实现任意代码执行。该漏洞影响Spring Framework 5.3.0至5.3.17、5.2.0至5.2.19以及更早版本。<\/p>

漏洞原理分析<\/h2>

漏洞概述<\/h2>
CVE-2022-22965是Spring Framework中的一个远程代码执行漏洞，该漏洞允许攻击者通过特制的HTTP请求修改Tomcat访问日志配置，最终实现任意代码执行。该漏洞影响Spring Framework 5.3.0至5.3.17、5.2.0至5.2.19以及更早版本。<\/p>