安全公司Aspect Security今天透露,在Spring框架的开发代码中,发现了一个重大的安全漏洞。
Aspect Security公司CEO杰夫•威廉姆斯(Jeff Williams)表示,该漏洞存在于Spring的“表达式语言”功能中,允许攻击者注入代码。
Aspect Security目前已经联合Spring开源社区来解决这一问题,但是到目前为止,还没有任何快速修复补丁放出。因此,使用Spring框架的应用程序可以存在安全隐患,建议开发者关闭表达式语言功能。
威廉姆斯称,Spring未来版本中将有可能默认不启用表达式语言功能,但是,目前存在的这个漏洞,如果被攻击者利用,可能会对应用程序产生大的威胁。这是非常危险的,攻击者可以完全接管一个Web应用程序,并在服务器上运行他们的代码。他还指出,该漏洞跟最近披露的浏览器Java漏洞无任何联系。
据提供开源组件的中央仓库Sonatype数据显示,目前已有超过2.2万个机构下载了超过130万次存在安全漏洞的Spring框架。
Spring 被爆漏洞,允许远程执行代码
内容版权声明:除非注明,否则皆为本站原创文章。