https://github.com/spring-projects/spring-framework/commit/002546b3e4b8d791ea6acccb81eb3168f51abb15,我在spring-github上发现了这个提交,有人能确认这个提交是对几天前发布的spring4shell漏洞的修复吗?
问候,
参考:https://github.com/SAP/project-kb/blob/vulnerability-data/statements/CVE-2022-22965/statement.yaml
是的,此提交确实修复了Spring4Shell漏洞。它阻止对不以name
开头或以Name
结尾的请求参数进行反序列化,这对于利用来说至关重要,因为它使用以class.
开头的请求参数。例如,可以在此处找到漏洞分析。