某企业级B2B集成平台用于在不同合作伙伴之间实现复杂的流程与安全交易。最新安全更新提示,该平台的若干版本暴露出远程执行任意代码的风险,需尽快升级以消除隐患。
4月11日,厂商发布了安全更新,修复了该平台中发现的执行任意代码漏洞。以下为漏洞要点与影响信息。
漏洞要点
漏洞编号:CVE-2022-22965,CVSS 评分:9.8,等级:重要。
该风险归因于 Spring Framework 在数据绑定阶段对 PropertyDescriptor 对象处理不当,可能被远程攻击者利用,向目标系统发送特制数据后在目标环境中执行任意代码。注意:攻击利用需要在 Tomcat 等作为应用服务器部署的 Java 应用中运行,并且需要使用 JDK 9 或更高版本,且依赖 Spring WebMVC 或 Spring WebFlux。这一漏洞通常也被称为 Spring4Shell。
影响的版本
相关的企业级B2B集成平台在以下版本范围内存在风险:6.0.0.0 – 6.0.3.5、6.1.0.0 – 6.1.0.4,以及 6.1.1.1 版本。
应对与升级路径
总体而言,平台被认为在某些配置下可能受此漏洞影响,但是否构成易受攻击的完整条件取决于具体部署环境、JDK 版本、应用服务器及打包形式等因素。出于谨慎考虑,厂商计划在未来版本中提升组件版本以缓解风险。
如需了解更多漏洞信息及升级路径,请留意官方通告并执行相应升级。 [[[IMG_1]]]
图片
