3月29日，Spring框架曝出RCE 0day漏洞，由于 SerializationUtils#deserialize 基于 Java 的序列化机制，可导致远程代码执行 (RCE)，使用JDK9及以上版本皆有可能受到影响。

在 Spring框架的JDK9及以上版本中，在满足特定条件的情况下，远程攻击者可通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值，从而触发pipeline机制并写入任意路径下的文件。

需要满足的特定条件有两个：

• 使用JDK9及以上版本的Spring MVC框架。如果不知道自己使用的是什么版本，可以通过执行“java-version”命令可查看JDK版本

• Spring 框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class

如何修复

据了解，目前官方已经修复了该漏洞，可以将Spring 框架升级到 5.3.17 版本。

除此之外，FreeBuf还提供了一些临时方案来进行防护：

临时方案1：WAF临时策略

在WAF等网络防护设备上，根据实际部署业务的流量情况，实现对“class.”，“Class.”，“.class.”，“.Class.”等字符串的规则过滤，并在部署过滤规则后，对业务允许情况进行测试，避免产生额外影响。

临时方案2：临时缓解措施

在应用系统的项目包下新建以下全局类，并保证这个类被Spring 加载到(推荐在Controller 所在的包中添加)。完成类添加后，需对项目进行重新编译打包和功能验证测试，并重新发布项目。

import org.springframework.core.annotation.Order;

import org.springframework.web.bind.WebDataBinder;

import org.springframework.web.bind.annotation.ControllerAdvice;

import org.springframework.web.bind.annotation.InitBinder;

@ControllerAdvice

@Order(10000)

public class a{

@InitBinder

public void setAllowedFields(WebDataBinder dataBinder) {

String[] abd = new String[]{"class.*", "Class.*", "*.class.*", "*.Class.*"};

dataBinder.setDisallowedFields(abd);

}

}