我公司的Sonatype扫描显示,即使对于最新版本(当前为5.2.3.RELEASE(,Spring-Web也容易受到攻击。
上面写着:
"发现严重性为 9.8 的安全漏洞 CVE-2016-1000027"。
我注意到CVE-2016-1000027已添加到国家漏洞数据库中 在 01/02/2020,它是关于
"Spring Framework 4.1.4 遭受了潜在的远程代码执行 (RCE( 问题(如果用于不受信任数据的 Java 反序列化("。
这是一张过时的票还是 4 年后仍未解决?
这个问题是从 Spring 框架的角度解决的,请参阅我总结该问题的最新评论。仅当您使用HTTPInvokerServiceExporter
或RemoteInvocationSerializingExporter
并从不受信任的源读取数据时,您的应用程序才容易受到攻击。
从不受信任的来源反序列化 Java 代码是 Java 中一个众所周知的问题(因此,所有 Java 应用程序和框架!(,并且在将来的 Java 版本中可能会删除此功能。
鉴于此安全问题的性质(除了删除类之外,没有办法"修复它",这将在Spring Framework的下一个主要版本中完成(,联系您的供应商或安全团队是最好的做法。如果需要,Spring 团队很乐意通过提供有关该问题的更多背景信息来帮助社区解决这个问题。